近日,SCANV团队监测到一个libsys图书馆系统的注入漏洞。该漏洞可使黑客获取到数据库信息,恶意篡改数据,甚至造成“拖库”等危害。SCANV团队预警站长关注此漏洞。
libsys是江苏汇文软件公司推出的一款基于B/S架构的图书馆自动化系统,主要服务于国内各大院校的图书馆,国内42%的“211工程大学”和诸多的“985工程大学”均采用了libsys图书馆管理系统。
SCANV团队研究人员分析此漏洞时发现,该系统asord_marc_record.php文件中的某个参数,由于没有进行安全过滤会形成注入漏洞,从而让黑客能够轻松获取到敏感信息,进而可以对数据进行恶意篡改,甚至会造成“拖库”等危险。统计显示,国内近百所高校图书馆系统存在此漏洞,面临遭到黑客攻击的威胁。
SCANV安全提醒广大高校及时联系libsys官方并升级最新系统补丁,并建议使用加速乐对网站进行进一步的防范。