发布日期:2015-02-18
更新日期:2015-03-03
受影响系统:
Piwigo Piwigo < 2.7.4
描述:
BUGTRAQ ID: 72664
CVE(CAN) ID: CVE-2015-1517
Piwigo是用PHP编写的相册脚本。
Piwigo 2.7.4之前版本,在启用所有过滤器后,在实现上存在sql注入漏洞,远程攻击者通过admin.php的batch_manager页,"Refresh photo set"操作内filter_level参数,可导致基于布尔值的、基于错误的或基于时间的sql盲注,执行任意sql命令。
<*来源:Schleier
*>
建议:
厂商补丁:
Piwigo
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: