PHPGiftRegistry index.php SQL注入漏洞

漏洞信息详情

PHPGiftRegistry index.php SQL注入漏洞

• CNNVD编号：CNNVD-200501-250
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2005-0292
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2005-01-17
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  php_gift_registry
• 漏洞来源：
  Madelman※ madelman…

PHP Gift Registry是一套Web应用系统，为其成员提供接收到的礼物的跟踪。
PHP Gift Registry 1.4.0版本中的index.php存在SQL注入漏洞。其1.5.0b1之前版本也可能存在该漏洞。
远程攻击者可通过messageid、shopper、shopfor或itemid参数，执行任意SQL命令。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
http://sourceforge.net/projects/phpgiftreg/files/

来源: BID
名称: 12289
链接:http://www.securityfocus.com/bid/12289

来源: BUGTRAQ
名称: 20050307 Re: phpGiftReq SQL Injection
链接:http://www.securityfocus.com/archive/1/392485

来源: XF
名称: phpgiftregistry-sql-injection(18925)
链接:http://xforce.iss.net/xforce/xfdb/18925

来源: SECUNIA
名称: 13873
链接:http://secunia.com/advisories/13873

来源: BUGTRAQ
名称: 20050116 phpGiftReq SQL Injection
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110599710017066&w=2

来源: FULLDISC
名称: 20050116 phpGiftReq SQL Injection
链接:http://lists.grok.org.uk/pipermail/full-disclosure/2005-January/030965.html

来源: SECTRACK
名称: 1012910
链接:http://securitytracker.com/id?1012910