PHP-Nuke Web_Links模块远程SQL注入码漏洞

漏洞信息详情

PHP-Nuke Web_Links模块远程SQL注入码漏洞

• CNNVD编号：CNNVD-200306-065
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2003-0279
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2003-05-12
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-09-22
  
• 厂        商：
  
  francisco_burzi
• 漏洞来源：
  Albert Puigsech Ga…

PHP-Nuke是一个广为流行的网站创建和管理工具，它可以使用很多数据库软件作为后端，比如MySQL、PostgreSQL、mSQL、Interbase、Sybase等。
PHP-Nuke包含的Web_Links模块存在多个SQL注入问题，远程攻击者可以利用这个漏洞获得数据库敏感信息，或对数据库进行破坏。
如果SQL代理允许用户使用UNION语法，就可能通过Web_Links模块拓展出数据库内部的任意信息，包括密码和个人数据，但是如果不能使用UNION语法，那攻击者就不能访问通过WEB LINK管理其他SQL表，因此只能获得一些点击率和投票信息。

厂商补丁：
Francisco Burzi
—————
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.phpnuke.org” target=”_blank”>
http://www.phpnuke.org

来源: XF
名称: phpnuke-web-sql-injection(11984)
链接:http://xforce.iss.net/xforce/xfdb/11984

来源: BID
名称: 7558
链接:http://www.securityfocus.com/bid/7558

来源: BUGTRAQ
名称: 20030512 Lot of SQL injection on PHP-Nuke 6.5 (secure weblog!)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=105276019312980&w=2

来源: BID
名称: 7588
链接:http://www.securityfocus.com/bid/7588

来源: BUGTRAQ
名称: 20030513 More and More SQL injection on PHP-Nuke 6.5.
链接:http://archives.neohapsis.com/archives/bugtraq/2003-05/0147.html