LBE Web Helpdesk是一款可通过WEB浏览器进行操作的Helpdesk系统。LBE Web Helpdesk不正确过滤用户提交的数据,远程攻击者可以利用这个漏洞进行SQL注入攻击,可能获得敏感数据或修改数据库。问题存在于jobedit.asp脚本对用户提交给'id'参数缺少过滤,提交包含恶意SQL命令的数据作为'id'参数,可修改'users'表,增加操作员相等权限的新用户。
Leigh Business Enterprises Web HelpDesk 4.0.0.80
临时解决方法:如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:* 在$nick = htmlspecialchars($nick);前插入if ($cadena_final) { unset($cadena_final); }代码。厂商补丁:Leigh Business Enterprises--------------------------目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:Leigh Business Enterprises Web HelpDesk 4.0 .0.80:Leigh Business Enterprises Upgrade weblatest.ziphttp://www.lbehelpdesk.com/patch/web/weblatest.zip
暂无评论