漏洞信息 webSPELL是一款基于PHP的WEB应用程序。 webSPELL不正确过滤用户提交的URI输入,远程攻击者可以利用漏洞进行SQL注入攻击获得敏感信息。 问题是'search.php'脚本对用户提交的参数数据缺少过滤,提交恶意SQL查询作为参数数据,可更改原来的SQL逻辑,获得敏感信息。 BUGTRAQ ID: 16673 CNCAN ID:CNCAN-2006021613 漏洞消息时间:2006-02-15 漏洞起因 输入验证错误 影响系统 webSPELL webSPELL 4.1 webSPELL webSPELL 4.0 危害 远程攻击者可以利用漏洞进行SQL注入攻击获得敏感信息。 攻击所需条件 攻击者必须访问webSPELL。 厂商解决方案 升级程序: webSPELL webSPELL 4.0 webSPELL SecurityFix 2006-02-15 http://www.webspell.org/index.php?site=files&file=4 webSPELL webSPELL 4.1 webSPELL SecurityFix 2006-02-15 http://www.webspell.org/index.php?site=files&file=4 漏洞提供者 Hamid Ebadi 漏洞消息链接 http://www.webspell.org/index.php?site=news_commentsnewsID=49&lang=de 漏洞消息标题 webSPELL Securityfix (webSPELL)
(出处:http://www.sheup.com)