deV!Lz Clanportal是一款基于Invision的一个图库模块。
deV!Lz Clanportal不充分过滤用户提交的URI输入,远程攻击者可以利用漏洞进行SQL注入攻击,获得敏感信息。
问题是’Index.PHP’脚本对用户提交的’show’参数缺少过滤,提交恶意SQL查询作为参数数据,可更改原来的SQL逻辑,获得敏感信息。
deV!Lz Clanportal deV!Lz Clanportal 1.3.6
目前没有解决方案提供:
<a href=“http://www.dzcp.de/news/index.php” target=“_blank”>http://www.dzcp.de/news/index.php</a>
http://www.example.com/index.php?show=-1'+%55NION+%53ELECT+1,+'Admin+Panel\',+level%3d4,+waffe%3d\'SQL+Injection',+2,+3,+'