正文

Jifty :: DBI SQL注入漏洞

admin
admin V管理员 /0 评论 /14 阅读
0422
此篇文章发布距今已超过1151天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2011-1933

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-11-27
漏洞描述
Jifty :: DBI是一款对象关系持久性框架。 Jifty :: DBI 0.68之前版本中存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。
解决建议
厂商已发布了漏洞修复程序,请及时关注更新:
http://lists.jifty.org/pipermail/jifty-devel/2011-April/002426.html
参考链接
http://lists.jifty.org/pipermail/jifty-devel/2011-April/002426.html
https://access.redhat.com/security/cve/cve-2011-1933
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=622919
https://metacpan.org/changes/distribution/Jifty-DBI
https://seclists.org/oss-sec/2011/q2/464
https://security-tracker.debian.org/tracker/CVE-2011-1933
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 jifty::dbi_project jifty::dbi * Up to
(excluding)
0.68
运行在以下环境
系统 debian_6 libjifty-dbi-perl * Up to
(excluding)
0.60-1+squeeze1
阿里云评分 3.1
  • 攻击路径 远程
  • 攻击复杂度 复杂
  • 权限要求 无需权限
  • 影响范围 有限影响
  • EXP成熟度 未验证
  • 补丁情况 官方补丁
  • 数据保密性 无影响
  • 数据完整性 无影响
  • 服务器危害 无影响
  • 全网数量 100
CWE-ID 漏洞类型 CWE-89 SQL命令中使用的特殊元素转义处理不恰当(SQL注入)