网站内容管理系统(国家信息安全漏洞共享平台收录广州市万户SQL注入漏洞(图))

　　网站内容管理系统(国家信息安全漏洞共享平台收录广州市万户SQL注入漏洞(图))

　　近日，国家信息安全漏洞共享平台（CNVD）收录（简称万湖公司）ezEIP2.0网站内容管理系统（简称ezEIP2.0软件）存在SQL注入漏洞（CNVD-2011-06105），攻击者可以利用该漏洞发起远程攻击，获取网站管理员密码，通过网站管理后台管理界面）。操作权限。相关信息报告如下：

　　一、漏洞分析

　　ezEIP2.0软件是万湖公司为建设企业级网站而出品的cms软件（即内容管理系统）。目前，CNVD在测试实例中发现，其动态页面并未严格过滤相关附加环境变量，可用于发起SQL注入攻击，获取后台数据库中的敏感信息，包括系统管理员账号密码。在测试例中，可以搜索后台管理页面system/Login.aspx并登录，获取网站的管理操作权限。

　　二、漏洞范围

　　CNVD 对该漏洞的总体评级为“高危”。

　　根据万虎公司官方*敏*感*词*网站（见附件），该产品的用户包括*敏*感*词*多家政府部门、央企及相关行业知名企业。

　　三、漏洞处理建议

　　CNVD于7月8日联系万虎，但该公司并未正面回应，未能明确漏洞修补及计划向客户提供紧急服务。 CNVD 建议采取以下对策：

　　(一）建议相关用户针对漏洞情况提供临时解决方案；

　　(二）相关用户也可以自行检查网站是否有常规web漏洞，及时发现潜在的安全隐患，对有SQL注入漏洞的URL过滤参数。同时后台管理地址访问控制，禁止外部IP或用户访问。