VULHUB ™

ClipBucket是Arslan团队开发的一套开源的视频共享软件。该软件可将视频分享到视频网站，且在观看影片时支持关灯效果。 ClipBucket 2.6 Revision 738及之前版本中存在SQL注入漏洞，该漏洞源于ajax.php脚本没有充分过滤add_friend操作中的‘uid’参数；ajax.php脚本没有充分过滤share_object、add_to_fav、rating和flag_object操作中的‘id’参数；ajax.php脚本没有充分过滤add_new_item、remove_collection_item、get_item和load_more_items操作中的‘cid’参数；ajax.php脚本没有充分过滤get_item操作中的‘ci_id’参数；user_contacts.php和view_channel.php脚本没有充分过滤‘user’参数；view_page.php脚本没有充分过滤‘pid’参数；view_topic.php脚本没有充分过滤‘tid’参数；watch_video.php脚本没有充分过滤‘v’参数。远程攻击者可利用该漏洞执行任意SQL命令。

ClipBucket是Arslan团队开发的一套开源的视频共享软件。该软件可将视频分享到视频网站，且在观看影片时支持关灯效果。 ClipBucket 2.6 Revision 738及之前版本中存在SQL注入漏洞，该漏洞源于ajax.php脚本没有充分过滤add_friend操作中的‘uid’参数；ajax.php脚本没有充分过滤share_object、add_to_fav、rating和flag_object操作中的‘id’参数；ajax.php脚本没有充分过滤add_new_item、remove_collection_item、get_item和load_more_items操作中的‘cid’参数；ajax.php脚本没有充分过滤get_item操作中的‘ci_id’参数；user_contacts.php和view_channel.php脚本没有充分过滤‘user’参数；view_page.php脚本没有充分过滤‘pid’参数；view_topic.php脚本没有充分过滤‘tid’参数；watch_video.php脚本没有充分过滤‘v’参数。远程攻击者可利用该漏洞执行任意SQL命令。