发布日期：2011-06-17
更新日期：2011-06-17

受影响系统：

e107 e107

描述：

---

CVE(CAN) ID: CVE-2011-4946

e107是用php编写的内容管理系统。

e107在实现上存在SQL注入漏洞，恶意用户可利用此漏洞执行SQL注入攻击。

传递到e107_admin/users_extended.php的"user_field"参数的输入在用于SQL查询中之前没有正确过滤。要成功利用需要对"Moderate users/bans etc."具有管理员权限并禁用 "magic_quotes_gpc"。

<*来源：High-Tech Bridge SA （http://www.htbridge.ch/）
  
  链接：http://secunia.com/advisories/44968/
*>

建议：

---

厂商补丁：

e107
----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://e107plugins.co.uk/

浏览次数：2165
严重程度：0（网友投票）