Select::order()' 函数SQL注入漏洞

发布日期:2014-06-11
更新日期:2014-06-17

受影响系统:
Zend Zend Framework < 1.12.7
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 68031
 
Zend Framework (ZF) 是一个开放源代码的 PHP5 开发框架,可用于来开发 web 程序和服务。
 
Zend Framework 1.12.7之前版本没有正确过滤"Zend_Db_Select::order()"函数内的输入就将其用在SQL查询内,恶意用户通过注入任意SQL代码,可篡改SQL查询。
 
<*来源:Cassiano Dal Pizzol
        Lars Kneschke
        Enrico Zimuel
 
  链接:
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
Zend
 ----
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 

 

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/5bacfabb8ee543ed11a29211115f0522.html