漏洞详情
| CNVD编号 | CNVD-2017-05330 |
|---|---|
| 漏洞标题 | WebsiteBaker存在多个SQL注入漏洞 |
| 严重等级 | 高 |
| 影响产品 | WebsiteBaker WebsiteBaker <=2.10.0 |
| 漏洞类型 | 通用软硬件漏洞 |
| 发现时间 | 2017-04-05 |
| 公开时间 | 2017-04-25 |
| 发现者 | Marek Alaksa |
| 解决方案 | 目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: http://project.websitebaker.org/issues/39 |
| 漏洞描述 | websitebaker是一款开源的内容管理系统(CMS)。 Websitebaker存在多个SQL注入漏洞。由于account/signup.php未正确处理变量"username"和"display_name"的值,远程身份验证的攻击者(登记是默认打开)可以改变当前的SQL查询,在应用程序的数据库注入并执行任意的SQL命令。 |
返回漏洞库首页
