发布日期：2004-01-09
更新日期：2004-01-15

受影响系统：

PHPGroupWare PHPGroupWare 0.9.14.006
PHPGroupWare PHPGroupWare 0.9.14.005
PHPGroupWare PHPGroupWare 0.9.14.003
PHPGroupWare PHPGroupWare 0.9.13
PHPGroupWare PHPGroupWare 0.9.12

不受影响系统：

PHPGroupWare PHPGroupWare 0.9.14.007

描述：

---

BUGTRAQ  ID: 9386
CVE(CAN) ID: CVE-2004-0017

PHPGroupware是一款免费开放源代码的群件系统，由PHPGroupware项目组开发维护并通过PHP语言实现。

PHPGroupWare包含的'calendar'和'infolog'模块存在SQL注入漏洞，远程攻击者可以利用这个漏洞获得敏感信息或进行数据库修改。

问题是'calendar'和'infolog'模块对外部输入缺少充分过滤，提交恶意SQL命令作为URI参数，可更改原有的数据库逻辑，获得敏感信息或进行数据库修改。

<*来源：Debian Security Advisory
  
  链接：http://www.debian.org/security/2004/dsa-419
*>

建议：

---

厂商补丁：

Debian
------
http://www.debian.org/security/2004/dsa-419

浏览次数：3621
严重程度：0（网友投票）