发布日期：  2006-06-29

更新日期：  2006-06-29
受影响系统/软件：

phpRaid 3.x

不受影响系统/软件：

漏洞描述： 

Secunia的调查发现了phpRaid存在的多个漏洞，恶意份子利用后发动SQL注入攻击危害脆弱系统。
1)传入announcements.php和rss.php文件phpraid_dir变量的输入，在用于包含文件前验证失败，从而使得恶意份子有机会利用这个问题通过本地或远程资源执行任意PHP代码。攻击要求register_globals 启用。
2) Input passed to the username and email form field parameters in传入 register.php中的username 和email域参数输入，再用于SQL查询前过滤不充份，从而使得恶意份子有机会利用注入任意SQL码实现SQL查询。
这个问题在 3.0.6版本中得到了确认。

厂商状态： 无补丁。

解决方案：  
 
暂无