Enano CMS ’email’ SQL注入漏洞

漏洞信息详情

Enano CMS ’email’ SQL注入漏洞

• CNNVD编号：CNNVD-201104-036
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2010-4780
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2011-04-08
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2011-04-08
  
• 厂        商：
  
  enanocms
• 漏洞来源：

Enano CMS 是一个网站的内容管理系统，用它来创建的静态网站可以转化为一个wiki ，博客，以及更多的可扩展性和模块化的架构。

Enano CMS 1.1.7pl1，1.0.6pl2，也可能是1.1.8之前的其他版本，1.0.6pl3和1.1.7pl2版本中存在SQL注入漏洞。

当注册新账户时，输入的\”email\”参数在被用于\”check_banlist()\”函数(位于includes/sessions.php文件)中进行SQL查询之前，没有经过正确过滤，远程攻击者可利用此漏洞执行任意SQL命令。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://enanocms.org/download

来源: BID

名称: 45120

链接:http://www.securityfocus.com/bid/45120

来源: www.htbridge.ch

链接:http://www.htbridge.ch/advisory/sql_injection_in_enano_cms.html

来源: EXPLOIT-DB

名称: 15645

链接:http://www.exploit-db.com/exploits/15645

来源: SECUNIA

名称: 42375

链接:http://secunia.com/advisories/42375

来源: packetstormsecurity.org

链接:http://packetstormsecurity.org/files/view/96229/enanocms-sqldisclose.txt

来源: OSVDB

名称: 69537

链接:http://osvdb.org/69537

来源: enanocms.org

链接:http://enanocms.org/News:Article/2010/11/16/Enano_1.1.8.2c_1.0.6pl3.2c_and_1.1.7pl2_released