当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Xerox DocuShare \'dsweb/ResultBackgroundJobMultiple/\' SQL注入漏洞

     发表日期:2014-04-25 17:43:00

Xerox DocuShare \'dsweb/ResultBackgroundJobMultiple/\' SQL注入漏洞

BugTraq-ID:66922

CVE-ID:CVE-2014-3138

 

受影响系统:

Xerox DocuShare 6.x

详细信息:

 

Xerox DocuShare是基于Web的内容管理解决方案。

 

 

 

Xerox DocuShare 6.53 Patch 6 Hotfix 2、6.6.1 Update 1 Hotfix 24、6.6.1 Update 2 Hotfix 3之前版本在实现上存在SQL注入漏洞,这可使经过身份验证的远程用户通过/docushare/dsweb/ResultBackgroundJobMultiple/ 内的PATH_INFO,利用此漏洞执行任意SQL命令。

 

 

来源:

Brandon Perry

参考信息:

http://www.exploit-db.com/exploits/32886/

测试方法:

警  告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!http://www.example.com:8080/docushare/dsweb/ResultBackgroundJobMultiple/1 AND 3994=(SELECT 3994 FROM PG_SLEEP(5))

解决办法:

厂商补丁:

 

Xerox

-----

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

 

 

 

http://www.xerox.com

 

http://www.xerox.com/download/security/security-bulletin/a72cd-4f7a54ce14460/cert_XRX14-003_V1.0.pdf

 

 

 

参考:

 

http://secunia.com/advisories/57996

 

http://www.osvdb.org/105972

 

http://xforce.iss.net/xforce/xfdb/92548

 

http://www.exploit-db.com/exploits/32886