BUGTRAQ ID: 28032
CVE(CAN) ID: CVE-2008-0385
Urulu是用PHP、JavaScript和XSL编写的内容管理系统。
Urulu处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞获取敏感信息。
如果向以下URI提交了带有畸形connectionId参数的POST请求的话:
/index.php/statprt/js/request
/index.php/dyn/js/request
就可能执行SQL注入攻击,导致泄露帐号口令等敏感信息;如果Urulu数据库用户拥有FILE权限的话,还可能通过MySQL的INTO OUTFILE句法写入Urulu目录。
Urulu Urulu 2.1
厂商补丁:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=“http://www.urulu.org/index.php/shr/download/Qmeg8W.gz” target=“_blank”>http://www.urulu.org/index.php/shr/download/Qmeg8W.gz</a>