首页 -> 安全研究

安全研究

安全漏洞
iTechClassifieds多个SQL注入漏洞

发布日期:2014-01-23
更新日期:2014-01-26

受影响系统:
itechscripts iTechClassifieds
描述:
BUGTRAQ  ID: 65089
CVE(CAN) ID: CVE-2014-100020

iTechClassifieds是分类广告及网上拍卖软件产品提供商。

iTechClassifieds没有有效过滤ViewCat.php、ChangeEmail.php页面的参数值,在实现上存在多个SQL注入漏洞,成功利用后可使攻击者执行未授权下层数据库操作。

<*来源:vinicius777
  *>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

http://www.example.com/iTechClassifieds_v3/ViewCat.php?CatID=[SQL INJECTION]

http://www.example.com/iTechClassifieds_v3/ChangeEmail.php?PreviewNum=1&#39; [SQL INJECTION]

建议:
厂商补丁:

itechscripts
------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://itechscripts.com/proman_xpress.html

浏览次数:1987
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障