发布日期:2014-09-03
更新日期:2014-09-04
受影响系统:
MyWebSQL MyWebSQL 3.4
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 69553
CVE(CAN) ID: CVE-2014-4735
MyWebSQL是基于web的MySQL数据库管理工具。
MyWebSQL 3.4及其他版本没有有效过滤传递到"/index.php"脚本的"table" HTTP GET参数值,这可使远程攻击者诱使管理员打开构造的链接在有漏洞的站点上下文浏览器中执行任意HTML和脚本代码。
<*来源:High-Tech Bridge Security Research Lab
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
?q=wrkfrm&amp;type=exporttbl&amp;table=%27;%3C/script%3E%3Cscript%3Ealert% 28%27immuniweb%27%29;%3C/script%3E
建议:
--------------------------------------------------------------------------------
厂商补丁:
MyWebSQL
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: