漏洞信息详情

eFiction多个远程输入验证漏洞

漏洞简介

eFiction是一款基于Web的远程协同写作的工具。

eFiction处理用户请求时存在多个输入验证漏洞,远程攻击者可能利用此漏洞在服务器上以Web进程权限执行任意命令或执行SQL注入攻击。eFiction的文件上传模块在处理上传文件时没能正确检查文件的扩展名,远程攻击者可以上传php后缀的可执行代码,从而使攻击者可以执行任意指令。eFiction的authors.php、viewstory.php、viewuser.php脚本没有对用户提交的参数数据做充分的检测过滤,攻击者可以通过在输入数据中插入特定的SQL代码非授权操作数据库。

漏洞公告

参考网址

来源: BID

名称: 15568

链接:http://www.securityfocus.com/bid/15568

来源: www.efiction.wallflowergirl.com

链接:http://www.efiction.wallflowergirl.com/forums/viewtopic.php?t=1555

来源: SECTRACK

名称: 1015273

链接:http://securitytracker.com/id?1015273

来源: SECUNIA

名称: 17777

链接:http://secunia.com/advisories/17777

来源: MISC

链接:http://rgod.altervista.org/efiction2_xpl.html

来源: BUGTRAQ

名称: 20051125 eFiction <= 2.0 multiple vulnerabilities

链接:http://archives.neohapsis.com/archives/bugtraq/2005-11/0301.html

来源: SREASON

名称: 206

链接:http://securityreason.com/securityalert/206

受影响实体

    暂无


补丁

    暂无

漏洞信息快速查询

相关漏洞

更多