NullLogic Groupware多个远程安全漏洞

CVECAN ID: CVE-2009-2354,CVE-2009-2355,CVE-2009-2356 Groupware是一个开源的团队协作软件，包含有即时消息、公共论坛、邮件等多种功能。 远程攻击者可以通过向Groupware的多个模块提交恶意参数请求导致拒绝服务或执行任意代码。 1 Groupware在与数据库服务器通讯时通常会调用sqlqueryf函数，该函数会使用C格式字符串和其他参数来创建SQL查询。例如，在试图登录的时候，authcheckpass函数会生成以下查询： if sqr=sqlqueryfsid, "SELECT userid, password FROM...