VULHUB ™

TUTOS是一款基于WEB的具有个人和组日志管理、bug跟踪、安装管理、任务列表、注释本、文件处理、邮件箱、链接等等功能的系统。 TUTOS多处对用户提交的参数缺少充分过滤，远程攻击者可以利用这个漏洞获得敏感信息，或破坏数据库。 Joxean Koret报告'/file/file_overview.php'脚本没有正确验证用户提供的'link_id'参数数据，如： http://[target]/file/file_overview.php?link_id=1005'asdf 可导致SQL注入，造成数据库信息泄露或数据库破坏。 另外'app_new.php'脚本没有过滤用户提供给't'变量的HTML代码，构建特殊的URL，诱使用户访问，可导致敏感信息泄露，如用于验证的COOKIE信息。 另外搜索字段也没有正确过滤用户提供的HTML数据。

TUTOS是一款基于WEB的具有个人和组日志管理、bug跟踪、安装管理、任务列表、注释本、文件处理、邮件箱、链接等等功能的系统。 TUTOS多处对用户提交的参数缺少充分过滤，远程攻击者可以利用这个漏洞获得敏感信息，或破坏数据库。 Joxean Koret报告'/file/file_overview.php'脚本没有正确验证用户提供的'link_id'参数数据，如： http://[target]/file/file_overview.php?link_id=1005'asdf 可导致SQL注入，造成数据库信息泄露或数据库破坏。 另外'app_new.php'脚本没有过滤用户提供给't'变量的HTML代码，构建特殊的URL，诱使用户访问，可导致敏感信息泄露，如用于验证的COOKIE信息。 另外搜索字段也没有正确过滤用户提供的HTML数据。