您现在的位置： 首页>>网络安全>>安全指南>>正文

　　漏洞信息

　　webSPELL是一款基于PHP的WEB应用程序。

　　webSPELL不正确过滤用户提交的URI输入，远程攻击者可以利用漏洞进行SQL注入攻击获得敏感信息。

　　问题是'search.php'脚本对用户提交的参数数据缺少过滤，提交恶意SQL查询作为参数数据，可更改原来的SQL逻辑，获得敏感信息。

　　BUGTRAQ ID: 16673

　　CNCAN ID:CNCAN-2006021613

　　漏洞消息时间:2006-02-15

　　漏洞起因

　　输入验证错误

　　影响系统

　　webSPELL webSPELL 4.1

　　webSPELL webSPELL 4.0

　　危害

　　远程攻击者可以利用漏洞进行SQL注入攻击获得敏感信息。

　　攻击所需条件

　　攻击者必须访问webSPELL。

　　厂商解决方案

　　升级程序：

　　webSPELL webSPELL 4.0

　　webSPELL SecurityFix 2006-02-15

　　http://www.webspell.org/index.php?site=files&file=4

　　webSPELL webSPELL 4.1

　　webSPELL SecurityFix 2006-02-15

　　http://www.webspell.org/index.php?site=files&file=4

　　漏洞提供者

　　Hamid Ebadi 　　

　　漏洞消息链接

　　http://www.webspell.org/index.php?site=news_commentsnewsID=49&lang=de

　　漏洞消息标题

　　webSPELL Securityfix (webSPELL)

上篇文章：

Sun Solaris本地特权提升漏洞

Microsoft IE脚本引擎溢出漏洞