Layton Technology HelpBox多个SQL注入漏洞

Layton HelpBox 3.0.1版本存在多个SQL注入漏洞。远程攻击者可以借助以下参数执行任意SQL命令：（1）editcommentenduser.asp中的sys_comment_id参数，（2）editsuspensionuser.asp中的sys_suspend_id参数，（3）export_data.asp中的table参数，（4）manageanalgrouppreference.asp中的sys_analgroup参数，（5）quickinfoassetrequests.asp中的sys_asset_id参数，（6） quickinfoenduserrequests.asp中的sys_eusername参数，以及（7）requestauditlog.asp中的，（8）requestcommentsenduser.asp中的，（9） selectrequestapplytemplate.asp中的，和（10）selectrequestlink.asp中的sys_request_id parameter参数，该漏洞可能导致创建一个HelpBox的新用户账户，并且从后端数据库读取，修改或删除数据。

Currently we are not aware of any vendor-supplied patches for this issue. If you feel we are in error or are aware of more recent information, please mail us at: vuldb@securityfocus.com .
@securityfocus.com>

来源: OSVDB
名称: 8179
链接:http://www.osvdb.org/8179

来源: OSVDB
名称: 8178
链接:http://www.osvdb.org/8178

来源: OSVDB
名称: 8177
链接:http://www.osvdb.org/8177

来源: OSVDB
名称: 8176
链接:http://www.osvdb.org/8176

来源: OSVDB
名称: 8175
链接:http://www.osvdb.org/8175

来源: OSVDB
名称: 8174
链接:http://www.osvdb.org/8174

来源: OSVDB
名称: 8173
链接:http://www.osvdb.org/8173

来源: OSVDB
名称: 8172
链接:http://www.osvdb.org/8172

来源: OSVDB
名称: 8171
链接:http://www.osvdb.org/8171

来源: OSVDB
名称: 8170
链接:http://www.osvdb.org/8170

来源: SECUNIA
名称: 12118
链接:http://secunia.com/advisories/12118

来源: XF
名称: helpbox-url-gain-access(16774)
链接:http://xforce.iss.net/xforce/xfdb/16774

来源: XF
名称: helpbox-multiple-sql-injection(16772)
链接:http://xforce.iss.net/xforce/xfdb/16772

来源: BID
名称: 10776
链接:http://www.securityfocus.com/bid/10776

来源: www.securiteam.com
链接:http://www.securiteam.com/windowsntfocus/5VP0S0ADFW.html