Phpclanwebsite 存在SQL注入漏洞

CNNVD-ID编号 CNNVD-200601-349
CVE编号 CVE-2006-0444
发布时间 2006-01-26
更新时间 2006-03-15
漏洞类型 跨站脚本
漏洞来源 matrix_killer is credited with the discovery of this vulnerability.
危险等级 中危
威胁类型 远程
厂 商 phpclanwebsite

漏洞介绍

Phpclanwebsite(也称为PCW)1.23.1的index.php中存在SQL注入漏洞,远程攻击者可以通过以下方式执行任意SQL命令:(1)论坛页面上post函数中的par参数,还可能有(2)投票页面上的poll_id参数。注意:poll_id矢量也可以针对无效的SQL语法通过未加引号的错误消息引发跨站脚本攻击(XSS)。

漏洞补丁

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

参考网址

受影响实体

信息来源