EllisLab ExpressionEngine Core多个SQL注入漏洞（CVE-2014-5387）

发布日期：2014-11-03
更新日期：2014-11-04受影响系统：
EllisLab ExpressionEngine Core <＝ 2.9.0
EllisLab ExpressionEngine Core
描述：
BUGTRAQ ID: 70875
CVE（CAN） ID: CVE-2014-5387 EllisLab ExpressionEngine Core是内容管理平台。EllisLab ExpressionEngine Core 2.9.0及之前版本在实现上存在多个sql注入漏洞，经过身份验证的用户利用此漏洞可访问敏感信息，执行未授权数据库操作。<*来源：Jerzy Kramarz
*>测试方法：警告以下程序（方法）可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！
http://www.example.com /ex/system/index.php？/cp/addons_modules/show_module_cp&amp;module=comment&amp;S=d80babaf271e481ba9a8fde69dd72b28http://www.example.com /ExpressEngine/system/index.php？/cp/content_publish/entry_form&amp;channel_id=2&amp;entry_id=3&amp;filter=YToxOntzOjEwOiJjaGFubmVsX2lkIjtzOjE6IjIiO30=&amp;S=5711f695056db582aa7427787f525d6f建议：
厂商补丁：EllisLab
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：https://ellislab.com/expressionengine参考：
http://seclists.org/fulldisclosure/2014/Nov/2