PHP-Fusion 4.01 多個弱點
medium Nessus Plugin ID 15433
語系:
概要
遠端 Web 伺服器主控的多個 PHP 指令碼受到多個瑕疵影響。說明
遠端主機上安裝的 PHP-Fusion 版本有一個弱點,可允許經驗證的攻擊者注入任意 SQL 程式碼,這是應用程式不當驗證「members.php」指令碼的「rowstart」參數以及「comments_php」指令碼的「comment_id」參數的使用者輸入造成。此外,此軟體版本也包含數個跨網站指令碼問題以及一個資訊洩漏弱,但 Nessus 尚未測試這些問題。
解決方案
目前尚未知。Plugin 詳細資訊
嚴重性: Medium
ID: 15433
檔案名稱: php_fusion_sql_inject.nasl
版本: 1.26
類型: remote
系列: CGI abuses
已發布: 2004/10/8
已更新: 2022/4/11
組態: 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.5
CVSS v2
風險因素: Medium
基本分數: 6.5
時間分數: 4.8
媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
弱點資訊
CPE: cpe:/a:php_fusion:php_fusion
必要的 KB 項目: www/PHP, www/php_fusion
排除在外的 KB 項目: Settings/disable_cgi_scanning
可輕鬆利用: No exploit is required
弱點發布日期: 2004/9/30
參考資訊
CVE: CVE-2004-2437, CVE-2004-2438