WebSPELL程序存在SQL注入漏洞

　　漏洞信息　　webSPELL是一款基于PHP的WEB应用程序。　　webSPELL不正确过滤用户提交的URI输入，远程攻击者可以利用漏洞进行SQL注入攻击获得敏感信息。　　问题是'search.php'脚本对用户提交的参数数据缺少过滤，提交恶意SQL查询作为参数数据，可更改原来的SQL逻辑，获得敏感信息。　　BUGTRAQ ID: 16673　　CNCAN ID:CNCAN-2006021613　　漏洞消息时间:2006-02-15　　漏洞起因　　输入验证错误　　影响系统　　webSPELL webSPELL 4.1 　　webSPELL webSPELL 4.0　　危害　　远程攻击者可以利用漏洞进行SQL注入攻击获得敏感信息。　　攻击所需条件　　攻击者必须访问webSPELL。　　厂商解决方案　　升级程序：　　webSPELL webSPELL 4.0　　webSPELL SecurityFix 2006-02-15　　http://www.webspell.org/index.php?site=files&file=4　　webSPELL webSPELL 4.1 　　webSPELL SecurityFix 2006-02-15　　http://www.webspell.org/index.php?site=files&file=4　　漏洞提供者　　Hamid Ebadi 　　　　漏洞消息链接　　http://www.webspell.org/index.php?site=news_commentsnewsID=49&lang=de　　漏洞消息标题　　webSPELL Securityfix (webSPELL)