LiveCart存在目錄腳本id參數SQL注入漏洞

【綠盟科技授權，賽迪發佈，謝絕任何網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

【賽迪網-IT技術報道】LiveCart是用於創建在線商店的電子商務解決方案。LiveCart的目錄腳本中沒有正確地驗證對id參數的輸入便將其用在了SQL查詢中，這允許遠程攻擊者通過控制SQL查詢請求執行SQL注入攻擊。

發佈日期：2008-04-10

更新日期：2008-05-05

受影響系統：

UAB Integry Systems LiveCart 1.1.1

描述：

----------------------------------------------------------------------------

BUGTRAQ ID: 28723

CVE(CAN) ID: CVE-2008-1750

LiveCart是用於創建在線商店的電子商務解決方案。

LiveCart的目錄腳本中沒有正確地驗證對id參數的輸入便將其用在了SQL查詢中，這允許遠程攻擊者通過控制SQL查詢請求執行SQL注入攻擊。

<*來源：irvian

鏈接：http://secunia.com/advisories/29765

http://marc.info/?l=bugtraq&m=120982760225981&w=2

http://livecart.com/news/LiveCart-1-1-2-released.12

*>

建議：

----------------------------------------------------------------------------

廠商補丁：

UAB Integry Systems

-------------------

目前廠商已經發佈了升級補丁以修復這個安全問題，請到廠商的主頁下載：

http://livecart.com/

(