Land Down Under <= 800 多個弱點
medium Nessus Plugin ID 19678
語系:
概要
遠端 Web 伺服器上有一個 PHP 指令碼允許攻擊者執行 SQL 注入攻擊與跨網站指令碼攻擊。說明
如果 PHP 的「magic_quotes」設定已停用,遠端的 Land Down Under 版本容易遭受各種 SQL 注入攻擊和跨網站指令碼攻擊,這是因為其未清理要求 URI,便將之用於「ldu_log()」函式的「system/functions.php」中。惡意使用者可利用此問題來操控 SQL 查詢、竊取驗證 Cookie 等。此外,它也無法正確清理使用者在論壇貼文中提供的簽章。惡意使用者可利用此弱點,竊取驗證 Cookie 並操控「forums.php」中的 HTML 格式。
解決方案
升級至 Land Down Under 801 版或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 19678
檔案名稱: ldu_sql_injection.nasl
版本: 1.28
類型: remote
系列: CGI abuses
已發布: 2005/9/6
已更新: 2021/1/19
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.6
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 6.5
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
弱點資訊
CPE: cpe:/a:neocrome:land_down_under
必要的 KB 項目: www/ldu
排除在外的 KB 項目: Settings/disable_cgi_scanning
可被惡意程式利用: true
可輕鬆利用: Exploits are available
弱點發布日期: 2005/8/21