PHPStatus统计程序多个输入漏洞

时间:2006-02-25 来源: 作者: 点击:
漏洞信息 PHPStatus是一款基于PHP的站点统计程序。 PHPStatus不充分过滤用户提交URI数据,远程攻击者可以利用漏洞获得敏感信息或绕过验证访问应用程序。 问题一是"check.php"脚本对"username"参数缺少过滤,可导致SQL注入攻击。 问题二是"check.php"存在验证绕过问题,
    漏洞信息

  PHPStatus是一款基于PHP的站点统计程序。

  PHPStatus不充分过滤用户提交URI数据,远程攻击者可以利用漏洞获得敏感信息或绕过验证访问应用程序。

  问题一是"check.php"脚本对"username"参数缺少过滤,可导致SQL注入攻击。

  问题二是"check.php"存在验证绕过问题,提交恶意的COOKIE参数可绕过检查,访问应用程序。

  问题三是管理段部分脚本对用户提交的参数缺少过滤。可导致HTML和脚本代码执行。

  BUGTRAQ ID: 16587

  CVE ID: CVE-2006-0570

   CVE-2006-0571

   CVE-2006-0572

  CNCVE ID:CNCVE-20060570

  漏洞消息时间:2006-02-10

  漏洞起因

  输入验证错误

  影响系统

  Hinton Design phpstatus 1.0

  危害

  远程攻击者可以利用漏洞获得敏感信息或绕过验证访问应用程序。

  攻击所需条件

  攻击者必须访问PHPStatus。

  测试方法

  厂商解决方案

  目前没有解决方案提供,请关注以下链接:

  http://www.hintondesign.org/downloads/view_cat.php?cat_id=92

  漏洞提供者

  Aliaksandr Hartsuyeu

  漏洞消息链接

  http://secunia.com/advisories/18791/

  漏洞消息标题

  PHPStatus Multiple Vulnerabilities
------分隔线----------------------------
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
最新评论 查看所有评论
发表评论 查看所有评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 密码: 验证码:
推荐内容