fatfat 2014-11-04
发布日期:2014-11-03
更新日期:2014-11-04
受影响系统:
EllisLab ExpressionEngine Core <= 2.9.0
EllisLab ExpressionEngine Core
描述:
BUGTRAQ ID: 70875
CVE(CAN) ID: CVE-2014-5387
EllisLab ExpressionEngine Core是内容管理平台。
EllisLab ExpressionEngine Core 2.9.0及之前版本在实现上存在多个sql注入漏洞,经过身份验证的用户利用此漏洞可访问敏感信息,执行未授权数据库操作。
<*来源:Jerzy Kramarz
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.example.com /ex/system/index.php?/cp/addons_modules/show_module_cp&amp;module=comment&amp;S=d80babaf271e481ba9a8fde69dd72b28
http://www.example.com /ExpressEngine/system/index.php?/cp/content_publish/entry_form&amp;channel_id=2&amp;entry_id=3&amp;filter=YToxOntzOjEwOiJjaGFubmVsX2lkIjtzOjE6IjIiO30=&amp;S=5711f695056db582aa7427787f525d6f
建议:
厂商补丁:
EllisLab
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<object type="application/x-shockwave-flash" style="outline:none;" data="http://cdn.abowman.com/widg