添加时间:
2008-10-04

系统编号:
WAVDB-01088
BUGTRAQ: 21771

影响版本:
Ananda Real Estate 3.4

程序介绍:

Ananda Real Estate是用于创建房地产站点的软件。

漏洞分析:

=Ananda Real Estate在处理用户请求时存在输入验证漏洞，远程攻击者可能利用此漏洞非授权访问数据库，导致敏感信息泄露或数据库破坏。

Ananda Real Estate的list.asp脚本没有正确过滤agent参数的输入，允许攻击者通过在输入数据中插入特定的SQL语句恶意操作数据库。

漏洞利用:

http://[target]/[path]//list.asp?agent=[SQL]

解决方案:
厂商补丁：
Softwebs Nepal
--------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://softwebsnepal.com/website_design_realestate.htm

信息来源:
<*来源：ajann （ajannhwt@hotmail.com）
链接：http://secunia.com/advisories/23506/
*>