微点交流论坛

标题: YouTube Blog多个漏洞 [打印本页]

作者: pioneer 时间: 2008-7-25 15:40 标题: YouTube Blog多个漏洞

来源

secunia.com

软件名

YouTube Blog 0.x

描述

1)传递到todos.php的"m"参数的输入在用来sql查询前没有准
确过滤，这可通过注入任意sql代码来操控sql查询
2)传递到mensaje.php的"m"参数的输入在返回到用户前没有
准确过滤，这可在用户浏览器浏览受影响的网页时，执行任
意HTML和脚本代码
3)传递到cuenta/cuerpo.php的"base_archivo"参数的输入在
用来包含文件前没有准确过滤，这可导致从本地或外部资源
汇总包含任意文件
成功执行该漏洞需要"register_globals"可用
4)传递到info.php的"id"参数的输入在用来sql查询前没有准
确过滤，这可通过注入任意sql代码来操控sql查询
该漏洞在V0.1中已经确认，其它版本可能也受到影响

解决方案

编辑源代码时确保输入充分过滤和确认

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn