WoDig社区程序wodig.asp页面过滤不严导致SQL注入漏洞
-
AV
AC
AU
C
I
A
发布:
2025-04-13
修订:
2025-04-13
WODIG是一套经过完善设计的中文DIGG社区开源程序,是Windows NT服务环境下DIGG社区程序的最佳解决方案。 在文件wodig.asp中: tags_name = Request("tags_name") //第13行 …… <%Call Default.Get_MainContent("wodig.asp")%> //第105行 Get_MainContent过程在文件/WoLib/Cls_Class.asp中: Public Sub Get_MainPP(pageurl) //第827行 …… if tags_name <> "" then //第839行 Sql = Sql & " and Src_ID in(Select SrcTag_SrcID From wo_SrcTags Where SrcTag_Name='"&tags_name&"')" end if 程序没有对放入sql语句中的变量tags_name做过滤导致注入漏洞的产生。 WoDig 4.1.2 厂商补丁 WoDig ------------ 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: <a href="http://www.wodig.com/" target="_blank" rel=external nofollow>http://www.wodig.com/</a>
漏洞利用/PoC
暂无可用Exp或PoC
受影响的平台与产品
当前有0条受影响产品信息
