eYou /php/report/lastlogin_list_export.php SQL注入漏洞

2013-04-18T00:00:00
ID SSV:62349
Type seebug
Reporter My Seebug
Modified 2013-04-18T00:00:00

Description

eYou是国内一款流行的邮件管理系统软件,其存/php/report/lastlogin_list_export.php文件中代码第52行,判断$_GET['time']和$_GET['stime']变量是否为空,执行代码第53-54行,删除由addslashes()函数添加的反斜杠,并赋值给$time和$stime变量。执行代码第66行,将$time和$stime变量拼接SQL语句,代码第68行,将拼接的SQL语句带入数据库执行。此过程中,并未将$time和$stime变量进行有效过滤,导致SQL注入漏洞产生。

eYou