发布日期：2008-07-21
更新日期：2008-07-23

受影响系统：

MyioSoft EasyE-Cards 3.10a

描述：

---

BUGTRAQ  ID: 30328
CVE(CAN) ID: CVE-2008-3344,CVE-2008-3345

EasyE-Cards是用PHP编写的发送电子贺卡的工具。

EasyE-Cards的staticpages/easyecards/index.php文件中没有正确地验证对ResultHtml、dir、SenderName、RecipientName、SenderMail和RecipientMail参数的输入便返回给了用户，远程攻击者可以通过跨站脚本攻击在用户浏览器会话中执行任意HTML和脚本代码；该文件中没有正确地验证对sid参数的输入便在SQL查询中使用，这允许攻击者执行SQL注入攻击。成功利用这个漏洞要求禁用了magic_quotes_gpc。

<*来源：Khashayar Fereidani
  
  链接：http://secunia.com/advisories/31192/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://marc.info/?l=bugtraq&m=121665294304071&w=2

建议：

---

厂商补丁：

MyioSoft
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://myiosoft[.]com/

浏览次数：2440
严重程度：0（网友投票）