Forum. MyNuke.ru - PHPNuke Множественные Уязвимости в Модулях

Навигация

		Forum. MyNuke.ru > PHP-NUKE > Безопасность > Уязвимости Защиты
PHPNuke Множественные Уязвимости в Модулях

Опции темы

Поиск в этой теме

Опции просмотра

SQL - инъекция в модуле Top PHP-NUKE v7.6

Soniks

Администратор

Регистрация: 16.01.2005

Сообщения: 4,814

Отправить персональное сообщение для Soniks

19.04.2005, 05:59

Описание:
Найдена критическая уязвимость в модуле Top PHP-Nuke 7.6 (и ниже). Была допущена ошибка в названии переменной, в замен $queryplang в базу добавлялась переменнвя $querylang (отличие одной буквой "p"), которая была не определена не кем и не чем и следовательно не проверялась.
Данная уязвимость позволяет злоумышленнику выполнить sql-инъекцию.
Устраняем уязвимость:
Откройте modules/Top/index.php
Найдите:

PHP код:


		
			
 $result9 = sql_query("SELECT pollID, pollTitle, timeStamp, voters FROM ".$prefix."_poll_desc $querylang order by voters DESC limit 0,$top", $dbi);

Замените на:

PHP код:


		
			
 $result9 = sql_query("SELECT pollID, pollTitle, timeStamp, voters FROM ".$prefix."_poll_desc $queryplang order by voters DESC limit 0,$top", $dbi);


	"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".

« Предыдущая тема | Следующая тема »

Опции темы	Поиск в этой теме
Версия для печати Отправить на E-mail	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

Ваши права в разделе
Вы не можете создавать темы Вы не можете отвечать на сообщения Вы не можете прикреплять файлы Вы не можете редактировать сообщения BB-коды Вкл. Смайлы Вкл. [IMG] код Выкл. HTML код Выкл.

Быстрый переход

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Ну вот и стоит на localhost phpnuke, далее вопрос...	Manchester > In Trance	Настройка и Изменение	4	13.06.2005 08:24

Часовой пояс GMT +4, время: 11:52.

MyNuke.ru - Архив