关键漏洞信息 漏洞概述 CVE ID: ZH2005-03SA 产品: NukeBookmarks .6 发布日期: 2005年3月26日 作者: Gerardo 'Astarot' Di Giacomo 漏洞详情 1. 全路径披露 - 通过 文件中的数据库查询,提交缺失或异常的参数时,可以获取网站的完整安装URL。 示例URL: - - 2. 跨站脚本攻击 (XSS) - 大多数用户输入的变量没有检查和清理,可注入HTML代码。 示例URL: - - - 3. SQL注入 - 利用 文件中的SQL注入漏洞,可以从数据库中提取内容。 示例URL: - - 此示例可获取PHPNuke作者列表及相关密码哈希。 解决方案 下载NukeBookmarks的最新版本(.7)。 联系信息 Mail: 网站: 原始URL: