安全研究
安全漏洞
Invision Gallery album参数远程SQL注入漏洞
发布日期:2006-05-02
更新日期:2006-05-04
受影响系统:Invision Power Services Invision Gallery <= 2.0.6
不受影响系统:Invision Power Services Invision Gallery 2.0.7
描述:
BUGTRAQ ID:
17793
Invision Gallery是一种款流行的基于Web的图像管理系统。
Invision Gallery实现上存在输入验证漏洞,远程攻击者可能利用此漏洞对服务器执行SQL注入攻击,非授权访问数据库。
Invision Gallery的"modules/gallery/post.php"脚本没有对album变量值做充分的检查过滤,远程攻击者可以在变量值中插入SQL语句非授权访问数据,导致数据库破坏或信息泄露。
<**>
建议:
厂商补丁:
Invision Power Services
-----------------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.invisionpower.com/ip.dynamic/products/gallery/index.html浏览次数:3027
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
