漏洞关键信息 漏洞名称: SQLiteManager v1.2.0 Multiple Vulnerabilities 公告日期: 2007-03-08 提交人: simon 风险等级: 中等 CVE编号: CVE-2007-1232, CVE-2007-1231 漏洞细节 厂商: http://www.sqlitemanager.org/ 全局风险: 高 多重跨站脚本(XSS)漏洞 描述: 在 文件中,数据库名称字段易受XSS攻击。这种XSS攻击是永久性的,如果一个权限受限的用户创建了一个包含恶意代码的表格名称,管理员打开SQLiteManager的索引页面时,他的Cookie将被窃取。同样的情况也会发生在表格名称字段插入恶意代码的情况下。 受影响字段: - main.php: , , , 解决方案: 使用 本地文件包含 描述: 变量存在漏洞。通过特定的请求可以读取 文件。 - 请求示例: 这个漏洞是危险的,权限受限的用户可能利用SQLiteManager获取未经授权的文件。 结论 此漏洞报告由Simon Bonnard于2007年2月24日提交。