bBlog rss.php远程SQL注入漏洞 CVE-2004-1570 CNNVD-200412-985 CNVD-2004-2669
7.5
AV
AC
AU
C
I
A
发布:
2004-12-31
修订:
2017-07-11
bBlog是一款基于PHP的BLOG系统。 bBlog包含的rss.php脚本不正确处理用户提交的URI输入,远程攻击者可以利用这个漏洞进行SQL注入攻击,可以获得敏感信息或更改数据库。 rss.php脚本对用户提交的$p参数缺少过滤,就直接传递给$bBlog->make_post_query()函数,攻击者提交特殊的SQL数据作为$p参数数据,可以更改原有SQL逻辑,可以获得敏感信息或更改数据库。
漏洞利用/PoC
暂无可用Exp或PoC
受影响的平台与产品
当前有2条受影响产品信息
