EASETHINK 1.4 /user.php SQL注入漏洞

易想团购是国内一款流行的团购管理系统软件，其v1.4版本/user.php文件代码第294行$REQUEST变量获取$id变量值，执行295行代码，拼接sql语句，执行sql语句，返回查询结果，执行代码第296-299行，判断返回结果是否为真，如果为真则执行代码第301-305行，登陆成功，执行代码第305行，拼接sql语句，其中的getclientip方法在，/system/common.php文件中定义，getclientip方法没有将值进行过滤。此过程导致任意用户登陆与SQL注入漏洞。 EASETHINK 1.4...

EASETHINK 1.4 /vote.php SQL注入漏洞

易想团购是国内一款流行的团购管理系统软件，其v1.4版本/vote.php文件代码第33行，遍历$REQUEST'name'数组，将数组键赋值给$voteaskid变量，代码第40行，将$voteaskid变量拼接SQL语句，并带入数据库查询，这个过程中并未将$voteaskid变量过滤，导致SQL注入漏洞产生。 EASETHINK 1.4...