PHP内容管理系统e107多个跨站脚本和SQL注入漏洞

PHP内容管理系统e107多个跨站脚本和SQL注入漏洞 影响版本:
e107 website system 0.7.16漏洞描述:


e107是用php编写的内容管理系统。 

e107的以下模块没有充分的过滤用户所提交的变量：

- submitnews.php
- usersettings.php.
- e107_admin/newpost.php.
- e107_admin/banlist.php.
- e107_admin/banner.php.
- e107_admin/cpage.php
- e107_admin/download.php.
- e107_admin/users_extended.php.
- e107_admin/frontpage.php.
- e107_admin/links.php.
- e107_admin/mailout.php.

远程安全者可以通过提交恶意请求执行跨站脚本安全。当用户登录到e107并点击这些链接时，就会在浏览器会话中执行注入的代码。

e107的Search功能存在SQL盲注漏洞，远程安全者可以通过提交恶意查询请求完全安全数据库。<*参考 
Do Hoang Bach