Zorum index.php多个参数SQL注入漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2009-10-07
Zorum index.php多个参数SQL注入漏洞 影响版本:
BUGTRAQ: 18681  漏洞描述:
BUGTRAQ: 18681  

Zorum是一款用PHP实现的免费开源论坛程序。
Zorum处理用户请求时存在多个输入验证漏洞,远程安全者可能利用此漏洞对服务器进行SQL注入安全。
Zorum的index.php脚本没有正确的过滤用户输入中的offset、tid、fromid、sortby、fromfrommethod和fromfromlist参数,允许远程安全者执行SQL注入安全。<*参考 
http://www.securitytracker.com/alerts/2006/Jun/1016386.html
*>
SEBUG安全建议:
厂商补丁:
PHPOutsourcing
--------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://zorum.phpoutsourcing.com/