i-doit Pro 'objID'参数SQL注入漏洞
i-doit Pro 'objID'参数SQL注入漏洞
发布日期:2014-02-17
更新日期:2014-02-20
受影响系统:
i-doit i-doit Pro 1.2.4
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 65557
CVE(CAN) ID: CVE-2014-1597
i-doit Pro是开源的IT文档和CMDB。
i-doit Pro 1.2.4 及更早版本的Web应用中存在多个SQL注入漏洞,利用这些漏洞攻击者可以执行未授权数据库操作。
<*来源:Stephan Rickauer
链接:http://seclists.org/fulldisclosure/2014/Feb/154
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.example.com/?objID=[SQL Injection]
建议:
--------------------------------------------------------------------------------
厂商补丁:
i-doit
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.i-doit.org/
评论暂时关闭