发布日期：2010-06-02
更新日期：2010-06-03

受影响系统：

Tecnick.com S.r.l. TCExam 10.1.007

描述：

---

BUGTRAQ  ID: 40511
CVE(CAN) ID: CVE-2010-2153

TCExam是一款基于网络的开源在线考试系统，用于在线试题的生成、管理等方面。

TCExam的admin/code/tce_functions_tcecode_editor.php脚本没有正确地过滤用户输入，允许用户向webroot中的文件夹上传并执行带有任意扩展名的文件。

<*来源：John Leitch
  
  链接：http://secunia.com/advisories/40011/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://cross-site-scripting.blogspot.com/2010/06/tcexam-101006-arbitrary-upload.html

建议：

---

厂商补丁：

Tecnick.com S.r.l.
------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.tcexam.com/

浏览次数：2842
严重程度：0（网友投票）