VULHUB ™

在文件movie_list.asp中： tags_name = Request(&quot;tags_name&quot;) //第20行 …… &lt;%Call Default.Get_movieContent(&quot;movie_list.asp&quot;)%&gt; //第152行 Get_movieContent过程在文件wolib/ cls_class.asp中： Public Sub Get_movieContent(pageurl) //第549行 …… if tags_name &lt;&gt; &quot;&quot; then //第561行 Sql = Sql &amp; &quot; and Src_ID in(Select SrcTag_SrcID From wo_SrcTags Where SrcTag_Name='&quot;&amp;tags_name&amp;&quot;')&quot; end if 程序没有对放入sql语句中的变量tags_name做过滤导致注入漏洞的产生。 WoDig 4.1.2 厂商补丁: WoDig ------------ 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： <a href="http://www.wodig.com/" target="_blank" rel=external nofollow>http://www.wodig.com/</a>

在文件movie_list.asp中： tags_name = Request(&quot;tags_name&quot;) //第20行 …… &lt;%Call Default.Get_movieContent(&quot;movie_list.asp&quot;)%&gt; //第152行 Get_movieContent过程在文件wolib/ cls_class.asp中： Public Sub Get_movieContent(pageurl) //第549行 …… if tags_name &lt;&gt; &quot;&quot; then //第561行 Sql = Sql &amp; &quot; and Src_ID in(Select SrcTag_SrcID From wo_SrcTags Where SrcTag_Name='&quot;&amp;tags_name&amp;&quot;')&quot; end if 程序没有对放入sql语句中的变量tags_name做过滤导致注入漏洞的产生。 WoDig 4.1.2 厂商补丁: WoDig ------------ 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： <a href="http://www.wodig.com/" target="_blank" rel=external nofollow>http://www.wodig.com/</a>