标题: Calendar Mx Professional "ID"SQL注入的漏洞 [打印本页]

---

作者: pioneer     时间: 2008-12-16 17:16    标题: Calendar Mx Professional "ID"SQL注入的漏洞

来源

secunia.com

软件名

Calendar Mx Professional 2.x

描述

传递到calendar_Eventupdate.asp 中输入的"ID"参数在返回到用户前没有准确过滤，这可在用户浏览器浏览受影响的网页时，执行任意HTML和脚本代码
该漏洞在V2.0.0中已经过滤，其他版本还没有受到影响

解决方案

编辑源代码时确保输入充分过滤

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn