EasyE-Cards多个SQL注入及跨站脚本漏洞 CVE-2008-3345 CNNVD-200807-437

6.8 AV AC AU C I A
发布: 2008-07-28
修订: 2017-08-08

EasyE-Cards是用PHP编写的发送电子贺卡的工具。 EasyE-Cards的staticpages/easyecards/index.php文件中没有正确地验证对ResultHtml、dir、SenderName、RecipientName、SenderMail和RecipientMail参数的输入便返回给了用户,远程攻击者可以通过跨站脚本攻击在用户浏览器会话中执行任意HTML和脚本代码;该文件中没有正确地验证对sid参数的输入便在SQL查询中使用,这允许攻击者执行SQL注入攻击。成功利用这个漏洞要求禁用了magic_quotes_gpc。

0%

漏洞利用/PoC

当前有2条漏洞利用/PoC

受影响的平台与产品

当前有2条受影响产品信息