发布日期：2005-06-23
更新日期：2005-06-23

受影响系统：

Ipswitch WhatsUp Professional 2005 SP1

不受影响系统：

Ipswitch WhatsUp Professional 2005 SP1a

描述：

---

BUGTRAQ  ID: 14039
CVE(CAN) ID: CVE-2005-1250

WhatsUp Professional是中小企业的网络管理解决方案。

远程利用IpSwitch的WhatsUp Professional 2005 Service Pack 1中的SQL注入漏洞可能允许远程攻击者获得管理访问。

WhatsUp Professional基于Web的前端的主登陆屏没有正确的验证输入，这就可能导致SQL注入攻击。攻击者可以在默认的登陆页面中通过User Name和Password字段提交SQL命令。

<*来源：iDEFENSE
  
  链接：http://www.idefense.com/application/poi/display?id=268&type=vulnerabilities
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：
* 对WhatsUp Gold Professional 2005 (SP1)禁用web前端可以防范这个漏洞。

厂商补丁：

Ipswitch
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载WhatsUP Pro 2005 SP1a：

http://www.ipswitch.com/forums/shwmessage.aspx?ForumID=20&MessageID=7699

浏览次数：3226
严重程度：0（网友投票）