Advanced Guestbook密码参数SQL注入漏洞

漏洞信息详情

Advanced Guestbook密码参数SQL注入漏洞

• CNNVD编号：CNNVD-200404-080
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2004-1952
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2004-04-23
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  advanced_guestbook
• 漏洞来源：
  JQ idiosyncrasie@x…

Advanced Guestbook是一款基于PHP的留言系统。
Advanced Guestbook对用户提交的密码参数缺少正确过滤，远程攻击者可以利用这个漏洞绕过验证匹配，未授权访问系统。
提交包含类似如下的字符串：
\’\’) OR (\’\’a\’\’ = \’\’a
作为密码参数，可绕过验证以管理员权限访问系统。

厂商补丁：
Advanced Guestbook
——————
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://proxy2.de/scripts.php” target=”_blank”>
http://proxy2.de/scripts.php

来源: XF
名称: advancedguestbook-sql-injection(15892)
链接:http://xforce.iss.net/xforce/xfdb/15892

来源: BID
名称: 10209
链接:http://www.securityfocus.com/bid/10209

来源: BUGTRAQ
名称: 20040421 Advanced Guestbook 2.2 — SQL Injection Exploit
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108258046402890&w=2

来源: BUGTRAQ
名称: 20050212 Re: Advanced Guestbook 2.2 — SQL Injection Exploit
链接:http://archives.neohapsis.com/archives/bugtraq/2005-02/0138.html