关键漏洞信息 Advisory ID: REVIVE-SA-2013-001 CVE ID: CVE-2013-7149 Date: 2013-12-20 Security Risk: Critical 受影响的应用和版本 Affected Applications: Revive Adserver Affected Versions: = 3.0.2 漏洞描述 Vulnerability: SQL Injection Description: SQL注入漏洞已被发现并报告给Revive Adserver团队。此漏洞已被利用以通过暴力机制获得对应用程序的未经授权访问,但可能使用其他类型的攻击。风险被评估为关键,因为最常见的最终目标是通过使用广告服务器的网站和广告网络传播恶意软件。 Additional Vulnerability: 此漏洞还存在于OpenX Source 2.8.11及更早版本中,可能追溯到phpAdsNew 2.0.x。 漏洞细节 Details: XML-RPC传递调用脚本未能以与传递方法相同的方式转义其输入参数,允许攻击者通过传递参数注入任意SQL代码。传递脚本中用于处理参数的转义技术已从addslashes PHP函数升级为专门用于数据库的转义函数。 解决方案 Solution: 强烈建议用户升级到最新版本3.0.2,包括那些运行OpenX Source或应用早些版本的用户。 Temporary Fix: 如果不能及时升级,建议删除“www/delivery/axmlrpc.php”脚本(如果未使用),作为临时修复,直到应用升级。