当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

LimeSurvey CPDB SQL注入漏洞

     发表日期:2014-07-28 15:10:33

LimeSurvey CPDB SQL注入漏洞

CVE-ID:CVE-2014-5017

 

受影响系统:

LimeSurvey LimeSurvey

详细信息:

 

LimeSurvey是一款开源的在线问卷调查程序,它用PHP语言编写并可以使用MySQL,PostgreSQL或者MSSQL等多种数据库,它集成了调查程序开发、调查问卷的发布以及数据收集等功能。

 

 

 

LimeSurvey 2.05+ Build 140618版本中,application/controllers/admin/participantsaction.php的CPDB存在SQL注入漏洞,远程攻击者通过admin/participants/sa/getParticipants_json JSON请求内的sidx参数,利用此漏洞可执行任意SQL命令。

 

 

来源:

vendor

参考信息:

http://packetstormsecurity.com/files/127369/Lime-Survey-2.05-Build-140618-XSS-SQL-Injection.html

解决办法:

厂商补丁:

 

LimeSurvey

----------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

 

 

 

https://github.com/LimeSurvey/LimeSurvey/commit/9938bcd1df8ea27052557c722a67b00c0e7d6cb6