Jaow 2.4.5 SQL injection
Jaow 是一个小巧简单的CMS,jaow很常用在小网站或是博客…等。
但是在05/23被kallimero发现了一个SQL Injection
发生问题的程式在 add_ons.php
在大约45行左右
- if(isset($_GET['add_ons']) && $_GET['add_ons'] !="") {
- // On stocke dans une variable simple le add_on demandé
- $add_on = addslashes($_GET['add_ons']);
- // On recherche si l'add_on est installé
- $query_add_ons = mysql_query('SELECT id,nom FROM '.$db_prefix.'add_ons WHERE nom="'.$add_on.'" AND actif="1"
到这边就很清楚了, 我们可以透过
[path]/add_ons.php?add_ons=[SQL injection]
来达到 SQL injection 的目的。
也可以在 下载
大家记得赶快去下载更新!!
阅读(1690) | 评论(0) | 转发(0) |
Jaow_2.4.6_patch_1.zip 是补丁