SQL injection vulnerability in... CVE-2009-1433 CNNVD-200904-484

7.5 AV AC AU C I A
发布: 2009-04-24
修订: 2009-04-27

SilverStripe是一款功能强大的CMS内容管理系统。 在SilverStripe中File::find($filename)使用SQL查询找到所请求的文件名,而所请求的文件名未经SQL转义便用作了查询参数。由于File::find内部调用DataObject::get_one时用单引号包围其SQL参数,使用单引号$filename就可能允许攻击者在请求中附加第二个查询。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有15条受影响产品信息