NullNews脚本实现上存在输入验证漏洞

受影响系统：

nullbranded.tk Null News 2005.7.27

描述：

BUGTRAQ ID: 17300

CVE(CAN) ID: CVE-2006-1534

Null News是一款基于PHP的新闻管理程序。

Null News的多个脚本实现上存在输入验证漏洞，远程攻击者可能利用这些漏洞对主机执行SQL注入攻击。

Null News的sub.php和unsub.php脚本没有正确过滤user_username参数的输入，lostpass.php、sub.php和unsub.php脚本没有正确过滤user_email参数的输入，允许攻击者通过注入恶意的SQL代码操控SQL查询。成功攻击要求关闭了magic_quotes_gpc。

<*来源：Aliaksandr Hartsuyeu （alex@evuln.com）

链接：http://secunia.com/advisories/19413/print/

http://marc.theaimsgroup.com/?l=bugtraq&m=114461218117362

*>

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://nullbranded.tk/

• ·华为3ComIPS集成全能、主动防御
• ·古诗名句四合一|报价￥12.80|图书,国学,
• ·美讯智推出间谍软件终结者ETS
• ·元曲三百首(共2册)|报价￥49.60|图书,
• ·今日关注“波比客”和“碰头”病毒变种
• ·InternetExplorer无效HTML解
• ·InternetExplorer远程HTA执行
• ·唐五代词300首(配图本)|报价￥15.50|
• ·律诗三百首(图文本)|报价￥22.00|图书,
• ·微软MS06-014安全漏洞公告