YouPHPTube LiveChat插件SQL注入漏洞
YouPHPTube是一款开源YouTube克隆脚本。
一、漏洞分析
公开日期:2020-02-18
漏洞编号:CNVD-2020-10163
危害等级:高危
漏洞描述:YouPHPTube 7.7及更早版本中的LiveChat插件存在SQL注入漏洞。该漏洞源于在将通过live_stream_code POST参数传递到/plugin/LiveChat/getChat.json.php的用户输入用于构造SQL查询之前未能正确验证输入。攻击者可利用该漏洞从数据库中读取敏感数据。
二、漏洞影响范围
YouPHPTube YouPHPTube <=7.7
三、漏洞处置建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://github.com/YouPHPTube/YouPHPTube/commit/624dbee03e2812ed3d46beb782a7d517f98ca963
