PHPGroupWare多个SQL注入漏洞

漏洞信息详情

PHPGroupWare多个SQL注入漏洞

• CNNVD编号：CNNVD-200402-009
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2004-0017
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2004-01-09
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  phpgroupware
• 漏洞来源：
  Debian Security Ad…

PHPGroupware是一款免费开放源代码的群件系统，由PHPGroupware项目组开发维护并通过PHP语言实现。
PHPGroupWare包含的\’\’calendar\’\’和\’\’infolog\’\’模块存在SQL注入漏洞，远程攻击者可以利用这个漏洞获得敏感信息或进行数据库修改。
问题是\’\’calendar\’\’和\’\’infolog\’\’模块对外部输入缺少充分过滤，提交恶意SQL命令作为URI参数，可更改原有的数据库逻辑，获得敏感信息或进行数据库修改。

厂商补丁：
Debian
——

http://www.debian.org/security/2004/dsa-419

来源: DEBIAN
名称: DSA-419
链接:http://www.debian.org/security/2004/dsa-419

来源: BID
名称: 9386
链接:http://www.securityfocus.com/bid/9386

来源: SECTRACK
名称: 1008662
链接:http://www.securitytracker.com/id?1008662

来源: SECUNIA
名称: 10591
链接:http://secunia.com/advisories/10591