| AlstraSoft E-Friends Pack SQL注入漏洞 |
| 作者:未知
文章来源:本站整理 点击数: 更新时间:2007-5-24 12:47:20 |
中心编号:NIPC-2007-1583 CVE编号:CVE-2007-2824
漏洞级别:紧急
发布日期:2007-05-23
更新日期:2007-05-23
漏洞类型:输入验证错误
攻击方式:远程
攻击效果:管理员访问权限
漏洞描述:
AlstraSoft E-Friends是一款基于PHP的WEB应用程序。
AlstraSoft E-Friends不正确过滤用户提交的输入,远程攻击者可以利用漏洞进行SQL注入攻击,可获得敏感信息。
问题是脚本对用户提交的'pack'参数缺少过滤,提交恶意SQL代码作为参数数据,可导致更改原来的SQL逻辑,获得敏感信息。
受影响系统和软件:
AlstraSoft E-Friends 4.0
AlstraSoft E-Friends 4.21
解决方案:
目前没有解决方案提供:
http://www.alstrasoft.com/efriends.htm
参考资源一:
http://www.securityfocus.com/bid/24067
参考资源二:
http://www.milw0rm.com/exploits/3956
致谢:
该漏洞由BlackHawk发现。
|
|
|
|
