微点交流论坛

标题: Mambo多个漏洞 [打印本页]

作者: pioneer 时间: 2008-7-23 15:41 标题: Mambo多个漏洞

来源

secunia.com

软件名

Mambo 4.x

描述

1)传递到index.php的"articleid" and "mcname"参数的输入
在用来SQL查询前没有准确过滤，这可通过注入任意SQL代码
来操控SQL查询
操纵成功后可允许检索管理员用户名和密码哈希值，但只需
要"magic_quotes_gpc"不可用，这不是安装时的推荐参数值
2)返回到用户前的特定输入没有准确过滤，这可导致在发送
到用户的回复中注入任意HTTP头文件，
该漏洞在4.6.3和所有4.6.x之前的版本中已经报告

解决方案

更新到V4.6.4

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn