DiY-CMS blog模块多个SQL注入漏洞

漏洞信息详情

DiY-CMS blog模块多个SQL注入漏洞

• CNNVD编号：CNNVD-201208-704
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2011-5140
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2012-08-31
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-09-04
  
• 厂        商：
  
  diy-cms
• 漏洞来源：

DiY-CMS是一款基于php+mysql的、简单的CMS系统。

DiY-CMS中的blog模块1.0版本中存在多个SQL注入漏洞。远程攻击者可利用这些漏洞用过传送到(a)tags.php(b)list.php(c)index.php(d) main_index.php(e)viewpost.php(f)archive.php(g)control/approve_comments.php(h) control/approve_posts.php和(i)control/viewcat.php脚本中的(1)start参数，和传送到archive.php脚本中的(2)month和(3)year参数，执行任意SQL命令。

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.preproject.com/card.asp

来源: XF

名称: diycms-mod-sql-injection(72022)

链接:http://xforce.iss.net/xforce/xfdb/72022

来源: OSVDB

名称: 78083

链接:http://www.osvdb.org/78083

来源: OSVDB

名称: 78082

链接:http://www.osvdb.org/78082

来源: OSVDB

名称: 78081

链接:http://www.osvdb.org/78081

来源: OSVDB

名称: 78080

链接:http://www.osvdb.org/78080

来源: OSVDB

名称: 78071

链接:http://www.osvdb.org/78071

来源: EXPLOIT-DB

名称: 18288

链接:http://www.exploit-db.com/exploits/18288

来源: SECUNIA

名称: 47337

链接:http://secunia.com/advisories/47337