博客心病..+emlog后台作者权限SQL注入漏洞

时间:2014-4-30    作者:晨曦    分类:


emlog后台作者权限SQL注入

2014-04-07发现的漏洞
,可以得到管理员密码的hash。显错注入显示的长度有限,可以使用mysql的substring函数截取一部分显示,分两次注入完毕。这个漏洞需要后台登录,虽然比较鸡肋,但某些emlog博主使用了自助注册等插件导致任何人可以注册成为作者,并轻易获取管理员权限。漏洞就不详解了,你懂的<br />
<br />
自从升级了em5.2后问题不断,什么插件不兼容,无法传图(这也是我所有的文章无图文说明的原因)近期才修复,模板使用不当导致入侵,js不兼容,编辑器不可用6.png撒撒的...<br />
最近修复了em几个主要漏洞和错误,烦啊,做个博客都有人入侵撒的,小白伤不起<br />
不用em吧 用zb和wp数据又不会转移.....就这样吧