发布日期：2003-01-08
更新日期：2003-01-15

受影响系统：

URLogy a.shop.Kart 2.0.3

描述：

---

BUGTRAQ  ID: 6558

A.shopKart是一款免费开放源代码的ASP编写的电子购物系统，它包括产品升级，客户管理等功能。

A.shopKart对用户提交的输入缺少充分过滤，远程攻击者可以利用这个漏洞提交恶意SQL命令，更改SQL逻辑，修改数据库或从数据库中获得敏感信息。

A.shopKart中有一个基本输入检查函数( TwoSingleQ(str) )，但没有应用于每个脚本进行检查，其中包括addcustomer.asp、addprod.asp、process.asp脚本，这些脚本对"zip", "state", "country", "phone"和"fax"缺少充分正确的检查，远程攻击者可以在这些字段中提交恶意SQL命令，导致修改SQL逻辑，可能破坏数据库或获得数据库敏感信息。

<*来源：Ignacio Vazquez （n.bugtraq@icana.org.ar）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104204509901976&w=2
*>

建议：

---

厂商补丁：

URLogy
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.urlogy.com/asp/ashopkart.asp

浏览次数：2587
严重程度：0（网友投票）