DotNetNuke DNNArticle模块'categoryid'参数SQL注入漏洞

2013-08-27T00:00:00
ID SSV:60964
Type seebug
Reporter Root
Modified 2013-08-27T00:00:00

Description

BUGTRAQ ID: 61788 CVE(CAN) ID: CVE-2013-5117

DotNetNuke DNNArticle是DNN的CMS和文章管理模块。

DNNArticle 10.0及之前版本没有正确验证categoryid参数值的有效性,存在SQL注入漏洞,成功利用后可使远程攻击者执行未授权数据库操作。 0 DotNetNuke DNNArticle 10.0 厂商补丁:

DotNetNuke

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

www.dnnarticle.com

                                        
                                            
                                                http://www.example.com/desktopmodules/dnnarticle/dnnarticlerss.aspx?moduleid=0&categoryid=1+or+1=@@version