TYPO3 WEC 讨论区SQL注入漏洞

文章由LinuxBoy分享于2019-04-02 04:04:11热评（378）

TYPO3 WEC 讨论区SQL注入漏洞

发布日期：2013-02-19
更新日期：2013-02-22

受影响系统：
TYPO3 WEC Discussion Forum Extension 2.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 58054

TYPO3 WEC Discussion Forum是第三方扩展，可以创建讨论区、博客或在页面添加评论等。

WEC Discussion Forum 2.1.2之前版本没有过滤某些输入即用在了SQL查询中，通过注入任意SQL代码，可导致操作SQL查询。

<*来源：Florian Wessner

链接：http://secunia.com/advisories/52284/
http://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2013-005/
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

TYPO3
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://typo3.org/extensions/repository/view/wec_discussion/2.1.2/

推荐文章：

TYPO3 WEC 讨论区SQL注入漏洞