微点交流论坛

标题: GForge RSS Export 时可被sql注入攻击 [打印本页]

作者: pioneer 时间: 2008-1-22 09:22 标题: GForge RSS Export 时可被sql注入攻击

来源

secunia.com

软件名

GForge 3.x
GForge 4.x

描述

这可恶意进行sql注入攻击
forum.php,rss20_newreleases.php, rss20_news.php, rss20_projects.php,rss_sfnewreleases.php, rss_sfnews.php, 和 rss_sfprojects.php中输入的多种参数在用于sql查询前没有被准确过滤，这可通过注入任意的sql代
码导致操控sql查询。

所有脚本都在"www/export"目录，成功执行需要"register_globals"可用

V3.1--4.5.19已确认受到影响，其它版本也可能受到影响

解决方案

SVN库中已经修复
编辑源代码确保充分过滤

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn