Symphony CMS ‘sort’参数SQL注入漏洞

漏洞信息详情

Symphony CMS ‘sort’参数SQL注入漏洞

• CNNVD编号：CNNVD-201304-088
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2013-2559
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2013-04-11
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2020-05-29
  
• 厂        商：
  
  symphony-cms
• 漏洞来源：
  High-Tech Bridge S…

Symphony CMS是一套采用PHP和MySQL开发的内容管理系统（CMS）。该系统支持搜索引擎优化、模块扩展等。

Symphony CMS 2.3.1及之前的版本中存在SQL注入漏洞，该漏洞源于system/authors/ URI没有充分过滤‘sort’参数。远程攻击者可利用该漏洞执行任意SQL命令。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.getsymphony.com/download/releases/version/2.3.2/

来源:BUGTRAQ

链接:http://archives.neohapsis.com/archives/bugtraq/2013-04/0018.html

来源:XF

链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/83227

来源:CONFIRM

链接:https://github.com/symphonycms/symphony-2/commit/6c8aa4e9c810994f7632837487426867ce50f468

来源:BID

链接:https://www.securityfocus.com/bid/58843

来源:MISC

链接:https://www.htbridge.com/advisory/HTB23148

来源:CONFIRM

链接:http://www.getsymphony.com/download/releases/version/2.3.2