VULHUB ™

在文件DelShortInFo.asp中： sql="select * from LxTel_shortinfo "&selectid&" "' //第20行 rs.open sql,conn,1,3 if not(rs.BOF and rs.EOF) then while not rs.EOF select case trim(RequestCStringSafe(request("shortinfo"))) case "收件箱" rs("收件人删除标记")="Y" 程序在修改短信标记的时候没有对用户的合法权限做验证导致越权漏洞的产生 BBSGood 5.0/5.0.2 厂商补丁： BBSGood.Speed ------- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://www.bbsgood.com/

在文件DelShortInFo.asp中： sql="select * from LxTel_shortinfo "&selectid&" "' //第20行 rs.open sql,conn,1,3 if not(rs.BOF and rs.EOF) then while not rs.EOF select case trim(RequestCStringSafe(request("shortinfo"))) case "收件箱" rs("收件人删除标记")="Y" 程序在修改短信标记的时候没有对用户的合法权限做验证导致越权漏洞的产生 BBSGood 5.0/5.0.2 厂商补丁： BBSGood.Speed ------- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://www.bbsgood.com/