CVE ID:CVE-2012-6290
ImageCMS是一款内容管理系统。
ImageCMS存在跨站请求伪造漏洞,允许远程攻击者构建恶意URI,诱使用户解析,可以目标用户上下文执行恶意操作。
由于传递到"/admin/admin_search/"的"q" HTTP GET参数没有正确过滤,攻击者可以利用漏洞在应用数据库中执行任意SQL代码。
0
ImageCMS 4.0.0b
ImageCMS 4.2已经修复该漏洞,建议用户下载更新:
http://[host]/admin/admin_search?q=123%27%20UNION%20SELECT%201,2,version%28%29,4,5,6,7,8,9,10,11,1 2,13,14,15%20INTO%20OUTFILE%27/tmp/file.txt%27%20--%202