php-sqrl SQL注入漏洞

漏洞信息详情

php-sqrl SQL注入漏洞

• CNNVD编号：CNNVD-201408-308
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2014-5458
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2014-08-20
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-08-26
  
• 厂        商：
  
  php-sqrl_project
• 漏洞来源：
  Scott Arciszewski

php-sqrl是一个写入到测试Android应用程序中的关于Steve Gibsons sqrl（安全网站登录和身份验证）的PHP实现。

php-sqrl的sqrl_verify.php脚本中存在SQL注入漏洞。远程攻击者可通过‘message’参数利用该漏洞执行任意SQL命令。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://github.com/geir54/php-sqrl/issues/4

来源:github.com

链接:https://github.com/geir54/php-sqrl/blob/0fa574520a1843a33a84c3985f934e84af6f2042/sqrl_verify.php#L39-59

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2014/Aug/49

来源:github.com

链接:https://github.com/geir54/php-sqrl/issues/4

来源: BID

链接:http://www.securityfocus.com/bid/69270