eFiction多个远程输入验证漏洞

漏洞信息详情

eFiction多个远程输入验证漏洞

• CNNVD编号：CNNVD-200512-212
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2005-4171
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2005-11-26
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-01-19
  
• 厂        商：
  
  efiction_project
• 漏洞来源：

eFiction是一款基于Web的远程协同写作的工具。

eFiction处理用户请求时存在多个输入验证漏洞，远程攻击者可能利用此漏洞在服务器上以Web进程权限执行任意命令或执行SQL注入攻击。eFiction的文件上传模块在处理上传文件时没能正确检查文件的扩展名，远程攻击者可以上传php后缀的可执行代码，从而使攻击者可以执行任意指令。eFiction的authors.php、viewstory.php、viewuser.php脚本没有对用户提交的参数数据做充分的检测过滤，攻击者可以通过在输入数据中插入特定的SQL代码非授权操作数据库。

来源: BID

名称: 15568

链接:http://www.securityfocus.com/bid/15568

来源: OSVDB

名称: 21124

链接:http://www.osvdb.org/21124

来源: www.efiction.wallflowergirl.com

链接:http://www.efiction.wallflowergirl.com/forums/viewtopic.php?t=1555

来源: SECTRACK

名称: 1015273

链接:http://securitytracker.com/id?1015273

来源: SECUNIA

名称: 17777

链接:http://secunia.com/advisories/17777

来源: MISC

链接:http://rgod.altervista.org/efiction2_xpl.html

来源: BUGTRAQ

名称: 20051125 eFiction <= 2.0 multiple vulnerabilities

链接:http://archives.neohapsis.com/archives/bugtraq/2005-11/0301.html