Cybozu Garoon 多个SQL注入漏洞

漏洞信息详情

Cybozu Garoon 多个SQL注入漏洞

• CNNVD编号：CNNVD-200608-474
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2006-4444
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2006-08-29
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-09-05
  
• 厂        商：
  
  cybozu
• 漏洞来源：
  Tan Chew Keong is …

Windows操作系统下Cybozu Garoon 2.1.0软件存在多个SQL注入漏洞，远程认证用户可借助以下参数来执行任意SQL指令：(1) (a) todo/查看(也称TODO列表查看)，(b) todo/修改 (也称TODO列表修改)，或 (c) todo/删除功能中的tid参数；(2) (d) 工作流程/查看或 (e) 工作流程/打印功能中的pid参数；(3) (f) 进度/用户_查看，(g) /增加，(h) 手机短信/历史，或 (i) 进度/查看功能中的uid参数；(4) (j) todo/索引中的cid参数；(5) (k) 备注/查看或 (l) 备注/打印功能中的iid参数；(6) (m) 进度/查看功能中的event参数。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

Cybozu Garoon 2.1

Cybozu Garoon 2.1.1

http://garoon.cybozu.co.jp/download/

来源: BID

名称: 19731

链接:http://www.securityfocus.com/bid/19731

来源: SECUNIA

名称: 21664

链接:http://secunia.com/advisories/21664

来源: MISC

链接:http://vuln.sg/cybozugaroon-en.html

来源: MISC

链接:http://cybozu.co.jp/products/dl/notice_060825/

来源: XF

名称: cybozu-garoon2-multiple-sql-injection(28594)

链接:http://xforce.iss.net/xforce/xfdb/28594

来源: OSVDB

名称: 28366

链接:http://www.osvdb.org/28366

来源: OSVDB

名称: 28365

链接:http://www.osvdb.org/28365

来源: OSVDB

名称: 28364

链接:http://www.osvdb.org/28364

来源: OSVDB

名称: 28363

链接:http://www.osvdb.org/28363

来源: OSVDB

名称: 28362

链接:http://www.osvdb.org/28362

来源: OSVDB

名称: 28361

链接:http://www.osvdb.org/28361

来源: VUPEN

名称: ADV-2006-3399

链接:http://www.frsirt.com/english/advisories/2006/3399