开发者社区> 问答> 正文

漏洞预警公告--齐博CMS变量覆盖导致sql注入漏洞



Dear all~


   在2015年3月5日 官方发布了齐博CMS变量覆盖导致sql注入漏洞的补丁,漏洞危害严重,请用户尽快升级补丁。


详情如下,请大家关注~


一、漏洞发布日期


2015年3月5日


二、已确认被成功利用的软件及系统


所有系统、所有版本


三、漏洞描述


齐博CMS中的漏洞文件/inc/common.inc.php使用@extract($_FILES,EXTR_SKIP)来注册$_FILES的各变量,使用EXTR_SKIP来控制不覆盖已存在的变量。利用一个末初始化的变量覆盖漏洞,即可导致sql注入漏洞。


四、漏洞检测方法





五、建议修补方案


1、升级最新补丁。
http://bbs.qibosoft.com/read-forum-tid-422299.htm?spm=0.0.0.0.h6kChR


展开
收起
少丰 2015-03-10 14:54:13 7448 0
0 条回答
写回答
取消 提交回答
问答分类:
问答地址:
问答排行榜
最热
最新

相关电子书

更多
SQL Server 2017 立即下载
GeoMesa on Spark SQL 立即下载
原生SQL on Hadoop引擎- Apache HAWQ 2.x最新技术解密malili 立即下载