LimeSurvey CPDB SQL注入漏洞

文章由LinuxBoy分享于2019-04-02 02:04:49热评（507）

LimeSurvey CPDB SQL注入漏洞

发布日期：2014-07-15
更新日期：2014-07-25

受影响系统：
LimeSurvey LimeSurvey
描述：
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2014-5017

LimeSurvey是一款开源的在线问卷调查程序，它用PHP语言编写并可以使用MySQL，PostgreSQL或者MSSQL等多种数据库，它集成了调查程序开发、调查问卷的发布以及数据收集等功能。

LimeSurvey 2.05+ Build 140618版本中，application/controllers/admin/participantsaction.php的CPDB存在SQL注入漏洞，远程攻击者通过admin/participants/sa/getParticipants_json JSON请求内的sidx参数，利用此漏洞可执行任意SQL命令。

<*来源：vendor
Giuseppe D'Amore

链接：http://packetstormsecurity.com/files/127369/Lime-Survey-2.05-Build-140618-XSS-SQL-Injection.html
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

LimeSurvey
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/LimeSurvey/LimeSurvey/commit/9938bcd1df8ea27052557c722a67b00c0e7d6cb6

本文永久更新链接地址：

推荐文章：

LimeSurvey CPDB SQL注入漏洞