OpenX SQL注入漏洞

漏洞信息详情

OpenX SQL注入漏洞

• CNNVD编号：CNNVD-201210-196
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2012-4990
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2012-10-16
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-10-16
  
• 厂        商：
  
  openx
• 漏洞来源：

OpenX（前称phpAdsNew）是美国OpenX公司的一套开源的广告管理与跟踪系统。该系统提供一个横幅广告管理界面，支持电子邮件通知客户广告统计信息的功能。

OpenX中存在漏洞，可被恶意攻击者利用进行SQL注入攻击。该漏洞源于通过‘ids[]’POST参数传送到/www/admin/campaign-zone-link.php脚本，在用于SQL查询之前没有正确验证，攻击者可利用该漏洞通过注入任意SQL代码，进行SQL查询。2.8.10版本中存在漏洞，其他版本也可能受到影响。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://svn.openx.org/openx/trunk/www/admin/campaign-zone-link.php

来源: www.htbridge.com

链接:https://www.htbridge.com/advisory/HTB23116

来源: svn.openx.org

链接:https://svn.openx.org/openx/trunk/www/admin/campaign-zone-link.php

来源: XF

名称: openx-campaignzonelink-sql-injection(79199)

链接:http://xforce.iss.net/xforce/xfdb/79199

来源: BID

名称: 55860

链接:http://www.securityfocus.com/bid/55860

来源: SECUNIA

名称: 50877

链接:http://secunia.com/advisories/50877

来源: OSVDB

名称: 86093

链接:http://osvdb.org/86093

来源: BUGTRAQ

名称: 20121010 Multiple vulnerabilities in OpenX

链接:http://archives.neohapsis.com/archives/bugtraq/2012-10/0065.html