漏洞信息详情
SimpleHRM SQL注入漏洞
- CNNVD编号:CNNVD-201304-501
- 危害等级: 高危
- CVE编号: CVE-2013-2498
- 漏洞类型: SQL注入
- 发布时间: 2013-04-24
- 威胁类型: 远程
- 更新时间: 2014-03-03
- 厂 商: simplehrm
- 漏洞来源: Doraemon Sk8ers
漏洞简介
SimpleHRM是一套人力资源管理系统。该系统提供了一个简单易用的HR部门的管理界面,包括雇员管理、离职管理、收益、提醒等功能。
SimpleHRM 2.3和2.2版本中的flexyCMS/modules/user/user_manager.php脚本的登录页面存在SQL注入漏洞,该漏洞源于index.php/user/setLogin脚本没有充分过滤‘username’参数。远程攻击者可利用该漏洞执行任意SQL命令。
漏洞公告
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.simplehrm.com/
参考网址
来源: XF
名称: simplehrm-cve20132498-sql-injection(83628)
链接:http://xforce.iss.net/xforce/xfdb/83628
来源: MLIST
名称: [oss-security] 20130417 Fwd: Multiple Vulnerabilities in Simple HRM system v2.3 and below
链接:http://www.openwall.com/lists/oss-security/2013/04/17/1
来源: OSVDB
名称: 92538
链接:http://osvdb.org/92538
来源: BID
名称: 59254
链接:http://www.securityfocus.com/bid/59254
受影响实体
- Simplehrm Simplehrm:2.2
- Simplehrm Simplehrm:2.3
补丁
暂无
评论