发布日期：2015-02-18
更新日期：2015-03-02

受影响系统：

Piwigo Piwigo < 2.7.4

描述：

---

BUGTRAQ  ID: 72664
CVE(CAN) ID: CVE-2015-1517

Piwigo是用PHP编写的相册脚本。

Piwigo 2.7.4之前版本，在启用所有过滤器后，在实现上存在sql注入漏洞，远程攻击者通过admin.php的batch_manager页，"Refresh photo set"操作内filter_level参数，可导致基于布尔值的、基于错误的或基于时间的sql盲注，执行任意sql命令。

<*来源：Schleier
  *>

建议：

---

厂商补丁：

Piwigo
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://piwigo.org/forum/viewtopic.php?id=25179
http://piwigo.org/releases/2.7.4

浏览次数：2691
严重程度：0（网友投票）