漏洞起因
输入验证错误
危险等级
低
影响系统
Intermesh Group-Office 3.7.23
不受影响系统
Intermesh Group-Office 3.7.25
危害
远程攻击者可利用此漏洞获得敏感信息或以WEB权限执行任意命令。
攻击所需条件
攻击者必须访问Group-Office。
漏洞信息
Group-Office是一个基于Web的办公套件,其功能包括用户管理、模块管理、邮件客户端、 文件管理器、日程、项目管理以及客户关系管理等等。
Group-Office存在多个安全漏洞,允许攻击者进行SQL注入攻击或以WEB权限执行任意命令。
-部分未明输入在用于SQL查询时缺少正确过滤,攻击者可以利用漏洞注入任意SQL操作数据库或获得敏感信息。
-部分输入在使用之前缺少过滤,攻击者可以利用漏洞注入和执行任意命令。
测试方法
厂商解决方案
Intermesh Group-Office 3.7.25已经修复此漏洞,建议用户下载使用:
http://freshmeat.net/projects/group-office/releases/334703
漏洞提供者
vendor
漏洞消息链接
http://secunia.com/advisories/45450/
0 条评论。