VULHUB ™

Bitweaver 1.1和1.1.1 beta版本中存在多个SQL注入漏洞，远程攻击者可以通过(1) (a) fisheye/list_galleries.php、(b) messages/message_box.php和(c) users/my.php的sort_mode参数；(2) (d) blogs/view_post.php的post_id参数；以及(3) (e) blogs/view.php的blog_id参数执行任意SQL命令，这些参数无法由kernel/BitDb.php中的convert_sortmode功能清除。

Bitweaver 1.1和1.1.1 beta版本中存在多个SQL注入漏洞，远程攻击者可以通过(1) (a) fisheye/list_galleries.php、(b) messages/message_box.php和(c) users/my.php的sort_mode参数；(2) (d) blogs/view_post.php的post_id参数；以及(3) (e) blogs/view.php的blog_id参数执行任意SQL命令，这些参数无法由kernel/BitDb.php中的convert_sortmode功能清除。