发布日期：2001-11-01
更新日期：2001-11-05

受影响系统：

e-Zone Media Inc. FuseTalk 3.0

描述：

---

BUGTRAQ ID: 3496

e-Zone Media FuseTalk 是一款基于Web的论坛程序，允许用户创建交互式的通讯。该
程序存在一个安全问题，可能允许攻击者修改SQL查询串。

这是因为“join.cfm”没有对用户的输入进行任何过滤的结果。

<*来源：Anthony Cole （acole76@bellsouth.net）
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-11/0004.html
*>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

例如在变量中输入下列代码：
1;delete from users
或者
1;exec sp_addlogin "hacked"




建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时去掉该CGI的执行权限

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://www.e-zonemedia.com/fusetalk/index.cfm

浏览次数：3755
严重程度：0（网友投票）