OpenBB index.php CID参数远程SQL注入漏洞

2009-05-20T00:00:00
ID SSV:11367
Type seebug
Reporter Root
Modified 2009-05-20T00:00:00

Description

BUGTRAQ: 7401

OpenBB包含的'index.php'脚本对输入缺少充分检查,远程攻击者可以利用这个漏洞插入任意SQL命令到数据,导致信息泄露、数据破坏。

index.php脚本对CID参数过滤不充分,攻击者只要在参数数字后增加空格值,就可以在后面追加相关的SQL命令,注入恶意SQL命令可以导致数据库信息泄露,或破坏数据库。

OpenBB 1.0.5.-1.1.0 厂商补丁: OpenBB


目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: <a href="http://www.openbb.co.uk/" target="_blank" rel=external nofollow>http://www.openbb.co.uk/</a>

                                        
                                            
                                                http://vulnerable/index.php?CID=1 &lt;something&gt;