安全研究

您现在的位置 > 首页 > 安全研究 > Web脚本漏洞

DoceboLMS iotask模块多个SQL注入漏洞

作者: 发布时间:09/03/12

发布时间: 2012-08-31
更新时间: 2012-08-31


描述:

DoceboLMS 4.0.4版本和早期版本中的iotask模块中的lib/lib.iotask.php中的‘save_connection’函数中存在多个SQL注入漏洞。远程认证用户可利用这些漏洞以管理者或教师特权通过传送到index.php脚本中的(1)coursereportuiconfig[name]或(2)coursereportuiconfig[description]参数,执行任意SQL命令。


建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.docebo.com/cms/home_elearning_lms_multimeda_courses


参考网址:

来源: twitter.com
链接:https://twitter.com/claudioerba73/status/143383179162685440


来源: XF
名称: docebolms-index-sql-injection(71720)
链接:http://xforce.iss.net/xforce/xfdb/71720


来源: EXPLOIT-DB
名称: 18224
链接:http://www.exploit-db.com/exploits/18224