当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Piwigo \'admin.php\' SQL注入漏洞

     发表日期:2015-03-13 16:38:41

Piwigo \'admin.php\' SQL注入漏洞
BugTraq-ID:72664
CVE-ID:CVE-2015-1517
发布日期:2015-02-18
更新日期:2015-03-02
受影响系统:
Piwigo Piwigo < 2.7.4
详细信息:

Piwigo是用PHP编写的相册脚本。

Piwigo 2.7.4之前版本,在启用所有过滤器后,在实现上存在sql注入漏洞,远程攻击者通过admin.php的batch_manager页,"Refresh photo set"操作内filter_level参数,可导致基于布尔值的、基于错误的或基于时间的sql盲注,执行任意sql命令。


来源:
Schleier
解决办法:
厂商补丁:

Piwigo
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://piwigo.org/forum/viewtopic.php?id=25179
http://piwigo.org/releases/2.7.4