TCExam admin/code/tce_functions_tcecode_editor.php脚本任意文件上传漏洞

影响版本:
TCExam 10.1.007

程序介绍:
TCExam是一款基于网络的开源在线考试系统，用于在线试题的生成、管理等方面。

漏洞分析:

TCExam的admin/code/tce_functions_tcecode_editor.php脚本没有正确地过滤用户输入，允许用户向webroot中的文件夹上传并执行带有任意扩展名的文件。

漏洞利用:
http://cross-site-scripting.blogspot.com/2010/06/tcexam-101006-arbitrary-upload.html

解决方案:
厂商补丁：
Tecnick.com S.r.l.
------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.tcexam.com/