发布日期：2003-05-31
更新日期：2003-06-05

受影响系统：

WebCortex WebStores2000

描述：

---

BUGTRAQ  ID: 7766
CVE(CAN) ID: CVE-2004-0304

Webstores 2000是一款基于WEB的在线购物应用程序。

WebStores2000对用户提供的包含在URI参数中的数据缺少正确的过滤，远程攻击者可以利用这个漏洞进行SQL注入攻击，导致信息泄露或数据库被破坏。

问题存在于'browse_item_details.asp'脚本中，由于对输入缺少充分过滤，远程攻击者提交包含恶意SQL语句的URI，在应用程序处理时会导致修改原有的SQL逻辑，导致敏感信息泄露或数据库被破坏。

<*来源：Bosen （mobile@bosen.net）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=105448678108569&w=2
*>

建议：

---

厂商补丁：

WebCortex
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.webcortex.com/site2000/products.asp

浏览次数：2649
严重程度：0（网友投票）