关键漏洞信息 漏洞详情 EDB-ID: 37387 CVE: 2015-4633 类型: WEBAPPS 平台: PHP 日期: 2015-06-26 易受攻击的应用程序: Koha 漏洞作者 作者: Raschin Tavakoli, Bernhard Garn, Peter Aufner & Dimitris Simos 漏洞描述 标题: Koha 开源 ILS - 未授权 SQL 注入在 OPAC 中 漏洞类型: 未授权 SQL 注入 利用向量: 通过 脚本中的 参数,可以引发 SQL 注入。 攻击结果: 攻击者可以读取数据库中的任意数据。如果 Web 服务器配置不当,还可以读取和写入文件系统。 影响: 关键 受影响的版本: - Koha 版本 3.18.8: 3.16.12: 证明概念 详细介绍了如何通过 工具利用该漏洞读取数据库数据,并给出了提取和破解密码的具体步骤。