漏洞信息详情
Command School Student Management System SQL注入漏洞
- CNNVD编号:CNNVD-201401-116
- 危害等级: 高危
- CVE编号: CVE-2014-1636
- 漏洞类型: SQL注入
- 发布时间: 2014-01-09
- 威胁类型: 远程
- 更新时间: 2014-01-24
- 厂 商: doug_poulin
- 漏洞来源: AtT4CKxT3rR0r1ST
漏洞简介
Command School Student Management System是一套基于Web的学生/学校管理系统。
Command School Student Management System 1.06.01中存在SQL注入漏洞。远程攻击者可借助在执行edit操作时‘id’参数发送至sw/目录下的多个脚本文件利用该漏洞执行任意SQL命令。脚本包括:(1)admin_school_names.php,(2)admin_subjects.php,(3)admin_grades.php,(4)admin_terms.php,(5)admin_school_years.php,(6)admin_sgrades.php,(7)admin_media_codes_1.php,(8)admin_infraction_codes.php,(9)admin_generations.php,(10)admin_relations.php,(11) admin_titles.php或(12)health_allergies.php。
漏洞公告
目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://sourceforge.net/projects/swifttide/
参考网址
来源: XF
名称: commandschool-id-sql-injection(90175)
链接:http://xforce.iss.net/xforce/xfdb/90175
来源: packetstormsecurity.com
链接:http://packetstormsecurity.com/files/124708/Command-School-Student-Management-System-1.06.01-SQL-Injection-CSRF-XSS.HTML
来源: OSVDB
名称: 101885
链接:http://osvdb.org/101885
来源: OSVDB
名称: 101884
链接:http://osvdb.org/101884
来源: OSVDB
名称: 101883
链接:http://osvdb.org/101883
来源: OSVDB
名称: 101882
链接:http://osvdb.org/101882
来源: OSVDB
名称: 101881
链接:http://osvdb.org/101881
来源: OSVDB
名称: 101880
链接:http://osvdb.org/101880
来源: OSVDB
名称: 101879
链接:http://osvdb.org/101879
来源: OSVDB
名称: 101878
链接:http://osvdb.org/101878
来源: OSVDB
名称: 101877
链接:http://osvdb.org/101877
来源: OSVDB
名称: 101876
链接:http://osvdb.org/101876
来源: OSVDB
名称: 101875
链接:http://osvdb.org/101875
来源: OSVDB
名称: 101874
链接:http://osvdb.org/101874
来源: BID
名称: 64707
链接:http://www.securityfocus.com/bid/64707
受影响实体
- Doug_poulin Ommand_school_student_management_system:1.06.01
- Doug_poulin Command_school_student_management_system:1.06.01
补丁
暂无
评论