Teamworx Server SQL和数据库泄露的漏洞

来源

secunia.com

软件名

Teamworx Server

描述

1)传递到default.asp (当"do"被设置为"login"时) 的"password"参数在用来sql查询前没有充分过滤，这可通过注入任意sql代码来操控sql查询
2)由"teamworx.mdb" 数据库文件在web root下在不安全授权时储存，这可通过下载文件来获得敏感信息

解决方案

编辑源代码时确保输入充分过滤。从web root外边删除数据库文件