发布日期:2012-11-30
更新日期:2012-12-04受影响系统:
smartcms smartcms
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 56760灵动(SmartCMS)内容管理系统,拥有文章、图片、下载、问答、论坛/留言、站内调查、友情链接、广告系统、自定义模型、自定义表单等众多丰富的功能模型。SmartCMS的某些脚本文件没有对其参数进行有效的检查和过滤,造成SQL注入和跨站脚本漏洞,利用这些漏洞可允许攻击者窃取cookie身份验证凭证、破坏应用、访问或修改数据、利用下层数据库内的其他漏洞。<*来源:Pr0T3cT10n (pr0t3ct10n@gmail.com)
*>测试方法:
--------------------------------------------------------------------------------警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!SQL-injection:http://www.example.com/index.php?menuitem=29+AND+1=2+UNION+ALL+SELECT+version()--Cross-site scripting:http://www.example.com/index.php?menuitem=26&amp;domeinvraag=&lt;script&gt;alert(1);&lt;/script&gt;&amp;aktie=Zoek&amp;idx=23建议:
--------------------------------------------------------------------------------
临时解决方法:如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:*开启web应用防火墙过滤危险参数"select",";","""等。
*或者暂停使用SmartCMS。厂商补丁:smartcms
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:www.smartcms.ccApache Apache HTTP Server mod_proxy_ajp模块拒绝服务漏洞Narcissus远程命令执行漏洞相关资讯 跨站脚本漏洞 SmartCMS安全漏洞
- D-Link DIR-300 / DIR-615 “send_ (04/25/2013 20:37:59)
- IBM Lotus Domino "x.nsf"多个跨站 (03/27/2013 21:58:12)
- IBM Information Server Metadata (02/04/2013 12:43:27)
| - EMC Smarts IP Manager等多个设备 (04/01/2013 18:43:12)
- IBM Tivoli Application (03/01/2013 21:06:59)
- IBM Lotus Notes Web应用输入验证 (12/18/2012 19:47:45)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您已经阅读并接受上述条款
|
|
易网时代-编程资源站