关键信息 漏洞名称: ViArt <= 3.5 SQL Injection CVSS 基本评分: 7.5/10 风险级别: 高 CVE: CVE-2008-3369 CWE: CWE-89 发布时间: 2008.08.01 影响版本: ViArt Shop <= 3.5 remote: 是 影响细节: - 影响子评分: 6.4/10 - 攻击复杂度: 低 - 机密性影响: 部分 - 完整性影响: 部分 - 可用性影响: 部分 利用细节: - 利用子评分: 10/10 - 身份验证: 不需要 描述: - ViArt Shop 是一个全功能的在线电子商务解决方案,使用 php 编写。 - 存在一个高风险的 SQL 注入漏洞,允许攻击者接管 ViArt 安装。 - 无论 magic_quotes 配置如何,都存在此漏洞。 SQL 注入细节: - 存在一个高风险的 SQL 注入漏洞,允许攻击者通过恶意请求执行任意查询。 - 漏洞代码可以在 "products_rss.php" 中找到。 - 变量 在查询中从未被正确地进行过数据净化或转义。 - 攻击者可以轻松选择数据库中的任意数据,包括用户名、密码,甚至信用卡信息。 修复方案: - ViArt 开发者已经发布了该漏洞的修复补丁。 - 用户应尽快升级他们的 ViArt 安装。 参考资料: - 提供了多个关于该漏洞的外部链接。