当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Osclass \'alert\'参数SQL注入漏洞

     发表日期:2015-01-19 14:05:28

Osclass \'alert\'参数SQL注入漏洞
BugTraq-ID:71840
CVE-ID:CVE-2014-8083
发布日期:2014-12-31
更新日期:2015-01-12
受影响系统:
Osclass Osclass <= 3.4.2
详细信息:

Osclass是免费的网站分类广告脚本。

 

Osclass 3.4.2及之前版本中,Search::setJsonAlert方法存在sql注入漏洞,远程攻击者通过search alert subscription操作内alert参数,利用此漏洞可执行任意sql命令。


来源:
Egidio Romano
参考信息:
http://seclists.org/fulldisclosure/2014/Dec/132
解决办法:
厂商补丁:

Osclass
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

 

http://blog.osclass.org/2014/10/09/osclass-3-4-3