发布日期：2002-05-10
更新日期：2002-05-15

受影响系统：

Macromedia Dreamweaver 4.0
    - Microsoft Windows NT 4.0
    - Microsoft Windows ME
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000
Macromedia Dreamweaver Ultradev 4.0
    - Microsoft Windows NT 4.0
    - Microsoft Windows ME
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000

描述：

---

BUGTRAQ  ID: 474

Dreamweaver/Interdev是Macromedia公司开发和维护的一款流行的网页设计软件，可使用在Microsoft Windows操作系统下。

Dreamweaver/Interdev在生成ASP脚本时没有很好过滤用户提供的数据，可导致远程攻击者任意修改SQL查询。

当在SQL查询时包含HTML变量时，Dreamweaver/Interdev生成ASP脚本处理过程中没有充分过滤外部提供的输入数据，可导致攻击者可以修改由应用程序执行的任意SQL查询。

Macromedia公司还没有证实此漏洞，无更详细信息。

<*来源：Ross Overstreet （ross@plugit.com）
  *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 对于Dreamweaver/Interdev生成的ASP脚本，一定要严格过滤用户提交的数据。

厂商补丁：

Macromedia
----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.macromedia.com/



浏览次数：3754
严重程度：0（网友投票）