发布日期：2023-11-08
更新日期：2024-02-27

受影响系统：

SpiceWorks Spiceworks Help Desk Server < 1.3.3

描述：

---

CVE(CAN) ID: CVE-2021-43609

Spiceworks是Spiceworks社区的一个IT管理软件，它专注于为中小型企业的IT专业人员简化盘点、监控网络和生成报告的过程。
Spiceworks Help Desk Server 1.3.3之前版本的app/models/reporting/database_query.rb中的order_by_for_ticket函数存在SQL注入漏洞，经过身份认证的攻击者可利用该漏洞通过sort参数执行任意SQL命令，进而泄露主机系统上的本地文件并执行远程代码。

<**>

建议：

---

厂商补丁：

SpiceWorks
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://community.spiceworks.com/blogs/help-desk-server-release-notes/3610-1-3-2-1-3-3

浏览次数：511
严重程度：0（网友投票）