eFiction多个远程输入验证漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1197158 漏洞类型 输入验证
发布时间 2005-11-26 更新时间 2006-01-19
CVE编号 CVE-2005-4173 CNNVD-ID CNNVD-200512-218
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200512-218
|漏洞详情
eFiction是一款基于Web的远程协同写作的工具。eFiction处理用户请求时存在多个输入验证漏洞,远程攻击者可能利用此漏洞在服务器上以Web进程权限执行任意命令或执行SQL注入攻击。eFiction的文件上传模块在处理上传文件时没能正确检查文件的扩展名,远程攻击者可以上传php后缀的可执行代码,从而使攻击者可以执行任意指令。eFiction的authors.php、viewstory.php、viewuser.php脚本没有对用户提交的参数数据做充分的检测过滤,攻击者可以通过在输入数据中插入特定的SQL代码非授权操作数据库。
|参考资料

来源:BID
名称:15568
链接:http://www.securityfocus.com/bid/15568
来源:OSVDB
名称:21126
链接:http://www.osvdb.org/21126
来源:www.efiction.wallflowergirl.com
链接:http://www.efiction.wallflowergirl.com/forums/viewtopic.php?t=1555
来源:SECTRACK
名称:1015273
链接:http://securitytracker.com/id?1015273
来源:SECUNIA
名称:17777
链接:http://secunia.com/advisories/17777
来源:MISC
链接:http://rgod.altervista.org/efiction2_xpl.html
来源:BUGTRAQ
名称:20051125eFiction<=2.0multiplevulnerabilities
链接:http://archives.neohapsis.com/archives/bugtraq/2005-11/0301.html