Exponent CMS SQL注入漏洞（CVE-2016-9242）

Exponent CMS SQL注入漏洞（CVE-2016-9242）
发布日期：2016-11-07
更新日期：2016-11-08

受影响系统：

Exponent Exponent Content Management System 2.4.0

描述：

CVE（CAN） ID: CVE-2016-9242

Exponent是网站内容管理系统。

Exponent CMS 2.4.0版本，framework/modules/core/controllers/expRatingController.php/update方法存在多个SQL注入漏洞，经身份验证的远程用户通过content_type或subtype参数，利用此漏洞可执行任意SQL命令。

<*来源：vendor
*>

建议：

厂商补丁：

Exponent
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/exponentcms/exponent-cms/commit/6172f67620ac13fc2f4e9d650c61937d48e9ecb9