VULHUB ™

eFiction是一款基于Web的远程协同写作的工具。 eFiction处理用户请求时存在多个输入验证漏洞，远程攻击者可能利用此漏洞在服务器上以Web进程权限执行任意命令或执行SQL注入攻击。eFiction的文件上传模块在处理上传文件时没能正确检查文件的扩展名，远程攻击者可以上传php后缀的可执行代码，从而使攻击者可以执行任意指令。eFiction的authors.php、viewstory.php、viewuser.php脚本没有对用户提交的参数数据做充分的检测过滤，攻击者可以通过在输入数据中插入特定的SQL代码非授权操作数据库。

eFiction是一款基于Web的远程协同写作的工具。 eFiction处理用户请求时存在多个输入验证漏洞，远程攻击者可能利用此漏洞在服务器上以Web进程权限执行任意命令或执行SQL注入攻击。eFiction的文件上传模块在处理上传文件时没能正确检查文件的扩展名，远程攻击者可以上传php后缀的可执行代码，从而使攻击者可以执行任意指令。eFiction的authors.php、viewstory.php、viewuser.php脚本没有对用户提交的参数数据做充分的检测过滤，攻击者可以通过在输入数据中插入特定的SQL代码非授权操作数据库。