MyBloggie ‘login.php’SQL注入漏洞

漏洞信息详情

MyBloggie ‘login.php’SQL注入漏洞

• CNNVD编号：CNNVD-200510-033
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2005-3153
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2005-10-05
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-06-14
  
• 厂        商：
  
  mywebland
• 漏洞来源：

MyBloggie 是一款高级的php/MySql博客系统。

MyBloggie 2.1.3 beta及之前版本的login.php可以使远程攻击者借助空字符后面带SQL的username参数，使白名单检查继续进行而将SQL注入查询字符串，从而绕过白名单正式表达式并进行SQL注入攻击。注： 此问题实际上可能是PHP代码的缺陷。如果是这样的话，则此问题不应当视为myBloggie漏洞。

来源: OSVDB

名称: 19935

链接:http://www.osvdb.org/19935

来源: SECTRACK

名称: 1014995

链接:http://securitytracker.com/id?1014995

来源: MISC

链接:http://rgod.altervista.org/mybloggie213b.html

来源: mywebland.com

链接:http://mywebland.com/forums/showtopic.php?t=399

来源: BUGTRAQ

名称: 20051001 MyBloggie 2.1.3beta null char + SQL Injection -> Login Bypass

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112818273307878&w=2

来源: SREASON

名称: 42

链接:http://securityreason.com/securityalert/42