正文

CNGENETCMS v4.2.0存在通用型SQL注入漏洞(CNVD-2015-05993)

admin
admin V管理员 /0 评论 /11 阅读
0417
此篇文章发布距今已超过1124天,您需要注意文章的内容或图片是否可用!

CVE编号

N/A

利用情况

暂无

补丁情况

N/A

披露时间

2015-10-28
漏洞描述
CNGENETCMS是一套内容管理系统(CMS),存在验证绕过漏洞的是CNGENETCMS v4.2.0 sp1。利用此漏洞可以不经过验证直接登陆网站后台进行网站管理。目前不少网站仍在使用此CMS系统,通过百度搜索”技术支持:中国政企网“可以找到大量的客户,例如:中煤科工集团重庆研究院有限公司、中国科技文化产业网等,详见漏洞附件报告。
解决建议
1)完善CMS代码,加强对用户输入字符串的过滤
2)部署WAF
参考链接
https://www.cnvd.org.cn/flaw/show/CNVD-2015-05993
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A CWE-ID 漏洞类型