当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Dokeos 2.2 RC2 SQL注入漏洞

信息来源:vendor      发表日期:2013-05-01 14:59:00

Dokeos是一个开源网上教育与课程管理系统。

Dokeos 2.2 RC2及之前版本没有正确验证"/index.php"的"language" HTTP GET参数值,未经身份验证的远程攻击者可利用此漏洞在应用的数据库内执行任意SQL命令。

 

CVE-ID:2013-6341

受影响系统:

Dokeos e-learning Dokeos <= 2.2 RC2

 

测试方法:

警  告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!http://[host]/index.php?language=0%27%20UNION%20SELECT%201,2,3,4,version

%28%29,6,7,8%20--%202

解决办法:

厂商补丁:

 

Dokeos e-learning

-----------------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.dokeos.com/

非官方补丁:

https://www.htbridge.com/advisory/HTB23181-patch.zip

参考信息:

http://www.securityfocus.com/archive/1/530035