漏洞信息详情

SocialEngine 'profile_comments.php'HTTP响应分裂和SQL注入漏洞

  • CNNVD编号:CNNVD-200902-261
  • 危害等级: 高危
  • CVE编号: CVE-2008-6120
  • 漏洞类型: SQL注入
  • 发布时间: 2009-02-11
  • 威胁类型: 远程
  • 更新时间: 2009-03-11
  • 厂        商: socialengine
  • 漏洞来源: David Vieira-Kurz

漏洞简介

SocialEngine是一个基于PHP的社交网络平台(SNS)引擎 。

SocialEngine (SE) 2.7及之前版本中的profile_comments.php存在SQL注入漏洞。远程攻击者可以借助comment_secure参数,执行任意的SQL指令。

漏洞公告

目前厂商还没有提供补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.socialengine.net/

参考网址

来源: XF

名称: socialengine-profilecomments-sql-injection(46770)

链接:http://xforce.iss.net/xforce/xfdb/46770

来源: BID

名称: 32382

链接:http://www.securityfocus.com/bid/32382

来源: BUGTRAQ

名称: 20081120 Social Engine 2.7 CRLF Injection + SQL injection

链接:http://marc.info/?l=bugtraq&m=122720734728665&w=2

补丁

    暂无

漏洞信息快速查询

相关漏洞

更多