关键漏洞信息 受影响软件 PostNuke版本: 0.750 及以上 漏洞描述 1. 严重SQL注入 受影晌的文件: /modules/Messages/readpmsg.php 代码段: 攻击步骤: 1. 登录为PostNuke用户并给自己发送消息。 2. 请求URL: 错误消息: 利用SQL注入: 可获取admin的MD5密码和昵称。 2. 跨站脚本(XSS) 利用XSS攻击的示例: 其会触发以下错误消息,可以利用此漏洞执行XSS攻击。 解决方法 使用PNSA 2005-2安全修复,仅对PostNuke 0.750进行了修改。 修复文件链接: 其他信息 作者: 联系方式: