CiviCRM SQL注入漏洞

漏洞信息详情

CiviCRM SQL注入漏洞

• CNNVD编号：CNNVD-201401-587
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2013-4662
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2014-01-29
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-02-07
  
• 厂        商：
  
  civicrm
• 漏洞来源：

CiviCRM是一套专用于非营利组织、非政府组织以及公益机构的客户关系管理系统。该系统可作为组织内部的业务管理，也可作为组织的联络、沟通以及追踪志愿者或支持者的关系和状态。

CiviCRM 4.2.0至4.2.9版本和4.3.0至4.3.3版本中的Quick Search API中存在SQL注入漏洞。远程攻击者可通过发送直接请求到API的第二层利用该漏洞绕过验证层，实施SQL注入攻击。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://civicrm.org/advisory/civi-sa-2013-004-limited-sql-injection-quick-search-api

来源: civicrm.org

链接:https://civicrm.org/advisory/civi-sa-2013-004-limited-sql-injection-quick-search-api

来源: issues.civicrm.org

链接:http://issues.civicrm.org/jira/browse/CRM-12765