PHP-Fusion ‘weblink_id’参数SQL漏洞

漏洞起因
输入验证错误
危险等级

影响系统
PHP-Fusion 7.2.4

不受影响系统

危害
远程攻击者可以利用漏洞操作数据库。

攻击所需条件
攻击者必须访问PHP-Fusion。

漏洞信息
PHP-Fusion是一款流行的开源内容管理系统。
PHP-Fusion包含的’weblinks.php’脚本不正确过滤’weblink_id’参数,远程攻击者可以利用漏洞进行SQL注入攻击,可获得敏感信息或操作数据库控制应用程序。

测试方法
http://www.example.com/weblinks.php?weblink_id=[Sql]

厂商解决方案
目前没有详细解决方案提供:
http://www.php-fusion.co.uk/

漏洞提供者
Am!r

评论关闭。