发布日期：2014-04-19
更新日期：2014-04-22

受影响系统：

MODx MODx
MODx Revolution <= 2.2.13-pl

描述：

---

BUGTRAQ  ID: 66990
CVE(CAN) ID: CVE-2014-2736

MODx Revolution是免费的开源内容管理系统。

MODx Revolution 2.2.13及其他版本在处理用户提供的会话ID时存在SQL盲注漏洞，该漏洞无需身份验证即可利用。当会话ID插入到modx_session表格后会触发此漏洞，导致向index.php注入SQL子查询。

受影响参数：
/connectors/security/message.php的user参数
/manager/index.php的id参数

<*来源：Craig Arendt
  
  链接：http://www.securityfocus.com/archive/1/531887/2013-08-20/2
*>

建议：

---

厂商补丁：

MODx
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://modxcms.com/

http://modx.com/blog/2014/04/04/revolution-2.2.14/

浏览次数：2042
严重程度：0（网友投票）