PHP-Nuke SQL injection

13.may 2003 Envía un trackback

El superconocido weblog PHP-Nuke tiene ciertas vulnerabilidades en forma de SQL Injections en sus últimas versiones (6.5, 6.x y 5.x) dentro del módulo Web_links. Veamos algo más sobre la publicación de esta vulnerabilidad...

La vulnerabilidad de este tipo de SQL Injection se ha hecho pública en bugtraq a través de un integrante del grupo español 7a69ezine (11/05/2003). Se trata del uso de la sentencia SQL UNION, siempre y cuando el servidor SQL nos permita su uso. Sacamos del archivo de BugTraq el trozo de código:


http://victim/modules.php?op=modload&name=Web_Links&file=index&l_op=viewlink&cid=2%20<our_code>


Comentarios
Gravatar Marc Espinosa@19.05.2003, 'No es el unico fallo reportado....'

La gente de 7a69 ha publicado mas de 10 avisos que efectan a dicho weblog. Las vulnerabilidades mas graves fueron reportadas por Oriol Carreras hace unos meses. Segun tengo entendido el propio site de php-nuke fue hackeado usado esta vulnerabilidad que deja el panel de administracion del weblog a la vista.


Escribe tu comentario
 
 
Guardar datos
Escribe tu comentario:
captcha


Intenta que tu comentario sea interesante y con información relevante al tema de la entrada. BBCodes disponibles: [url=http://direccion]texto[/url], negrita: [b]texto[/b], itálica: [i]texto[/i], subrayada: [u]texto[/u]. Para mencionar o citar a alguien (quote): [cita]texto[/cita]