VULHUB ™

动易网站管理系统是一个采用 ASP 和 MSSQL 等其他多种数据库构建的高效网站内容管理解决方案产品。 vote.asp调用了动易组件PE_Site.ShowVote，此组件VoteOption参数过滤不严，导致可以进行mssql注入 但是其语句里面过滤了-- ;等字符，又是一个UPDATE形的注入，有一定的限制。但是其过滤的顺序不对。有导致mssql的注释符号--可以进入语句 PowerEasy CMS SP6 071030以下版本 更新动易组件（需要管理员的权限才能更新）。 不需要投票功能的用户，删除此文件。 有需要，但是又没有权限更新动易组件（需要管理员的权限才能更新）的用户。请在vote.asp文件自行过滤各个参数。

动易网站管理系统是一个采用 ASP 和 MSSQL 等其他多种数据库构建的高效网站内容管理解决方案产品。 vote.asp调用了动易组件PE_Site.ShowVote，此组件VoteOption参数过滤不严，导致可以进行mssql注入 但是其语句里面过滤了-- ;等字符，又是一个UPDATE形的注入，有一定的限制。但是其过滤的顺序不对。有导致mssql的注释符号--可以进入语句 PowerEasy CMS SP6 071030以下版本 更新动易组件（需要管理员的权限才能更新）。 不需要投票功能的用户，删除此文件。 有需要，但是又没有权限更新动易组件（需要管理员的权限才能更新）的用户。请在vote.asp文件自行过滤各个参数。