編輯“Quicksilver Forums”（章節(jié)）

==相關(guān)資訊==
Quicksilver ForumsSQL注入漏洞

漏洞信息 

Quicksilver Forums是一款基于WEB的論壇程序。 

Quicksilver Forums不充分過濾用戶提交的URI，遠(yuǎn)程攻擊者可以利用漏洞進(jìn)行SQL注入攻擊，可獲得敏感信息或操作數(shù)據(jù)庫。 

問題是腳本對用戶提交的URI參數(shù)缺少充分過濾，提交惡意SQL查詢作為參數(shù)數(shù)據(jù)，可更改原來的SQL邏輯，獲得敏感信息，或操作數(shù)據(jù)庫。 

BUGTRAQ ID: 15710 

CNCAN ID:CNCAN-2005120605 

漏洞消息時間:2005-12-05 

漏洞起因 

輸入驗(yàn)證錯誤 

影響系統(tǒng) 

Quicksilver Forums Quicksilver Forums 1.1.4 

不受影響系統(tǒng) 

Quicksilver Forums Quicksilver Forums 1.1.5 

危害 

遠(yuǎn)程攻擊者可以利用漏洞進(jìn)行SQL注入攻擊，可獲得敏感信息或操作數(shù)據(jù)庫。 

攻擊所需條件 

攻擊者必須訪問Quicksilver Forums。 

廠商解決方案 

升級程序： 

Quicksilver Forums Quicksilver Forums 1.1.4 

Quicksilver Forums Upgrade quicksilverforums-1.1.5.tar.gz 

http://prdownloads.sourceforge.net/qsforums/quicksilverforums-1.1.5.ta r.gz?download 

漏洞提供者 

Vendor 

漏洞消息鏈接 

http://sourceforge.net/project/shownotes.php?release_id=375970&group_id=154354 

漏洞消息標(biāo)題 

Release Name: 1.1.5 (Quicksilver Forums)