发布日期:2014-04-15
更新日期:2014-05-04
受影响系统:
Xerox DocuShare 6.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 66922
CVE(CAN) ID: CVE-2014-3138
Xerox DocuShare是基于Web的内容管理解决方案。
Xerox DocuShare 6.53 Patch 6 Hotfix 2、6.6.1 Update 1 Hotfix 24、6.6.1 Update 2 Hotfix 3之前版本在实现上存在SQL注入漏洞,这可使经过身份验证的远程用户通过 /docushare/dsweb/ResultBackgroundJobMultiple/ 内的PATH_INFO,利用此漏洞执行任意SQL命令。
<*来源:Brandon Perry
链接:
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
:8080/docushare/dsweb/ResultBackgroundJobMultiple/1 AND 3994=(SELECT 3994 FROM PG_SLEEP(5))
建议:
--------------------------------------------------------------------------------
厂商补丁:
Xerox
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: