亚洲AV无码乱码国产精品9,欧美理仑片色情斯巴达克斯,疯狂试爱免费视频观看,蜜臀色欲AV无人A片一区,亚洲少妇一级黄色片

XOOPS SQL注入漏洞公告（CVE-2017-7290）

一、關于XOOPS

XOOPS（）是一個開放源代碼的工具程序，用于實現從小型到大型的動態交互社區，公司門戶，企業內部網，網絡日志等。安裝到服務器主機后，網站管理員可以登陸到管理區，通過瀏覽器來管理內容信息。后臺管理手段直觀易用，不需要任何編程，而且XOOPS還提供了方便的安裝程序。

Xoops作為世界上流行的web CMS系統，凝聚世界各地鐘愛開源精神的開發者和支持者，北至愛爾蘭南至澳大利亞、阿根廷，東自中國日本西到美國加拿大，無不可見為了開源社區而奉獻的人們。

二、適用范圍

影響范圍：XOOPS 2.5.7.2-2.5.8.1（最新版本）

三、漏洞詳情

漏洞污染點：存在于include/finduser.php文件的getAll方法中。

跟進formatURL函數，正則表達式設計時是以^開頭 后面結尾沒有用$符號，這為我們構造SQL注入提供了很大的便利。

漏洞觸發點位于：include/findusers.php 文件的getCount方法中

四、漏洞利用

普通的SQL注入獲取數據方法不再贅述，在數據庫賬號為管理員時，可以嘗試直接寫Shell，以下圖中的構造語句為例，可以導出文件到任意目錄：

五、漏洞Poc

六、修復方法

由于目前官方還沒有更新補丁，可以先對傳入的url參數進行防注處理。

七、CVE相關鏈接