安全研究
安全漏洞
Macromedia Dreamweaver InterDev可插入SQL命令漏洞
发布日期:2002-05-10
更新日期:2002-05-15
受影响系统:
Macromedia Dreamweaver 4.0
- Microsoft Windows NT 4.0
- Microsoft Windows ME
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000
Macromedia Dreamweaver Ultradev 4.0
- Microsoft Windows NT 4.0
- Microsoft Windows ME
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000
描述:
BUGTRAQ ID:
474
Dreamweaver/Interdev是Macromedia公司开发和维护的一款流行的网页设计软件,可使用在Microsoft Windows操作系统下。
Dreamweaver/Interdev在生成ASP脚本时没有很好过滤用户提供的数据,可导致远程攻击者任意修改SQL查询。
当在SQL查询时包含HTML变量时,Dreamweaver/Interdev生成ASP脚本处理过程中没有充分过滤外部提供的输入数据,可导致攻击者可以修改由应用程序执行的任意SQL查询。
Macromedia公司还没有证实此漏洞,无更详细信息。
<*来源:Ross Overstreet (
ross@plugit.com)
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 对于Dreamweaver/Interdev生成的ASP脚本,一定要严格过滤用户提交的数据。
厂商补丁:
Macromedia
----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.macromedia.com/
浏览次数:3754
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |