漏洞描述
Informix是由IBM发布和维护的企业级数据库产品,其中Informix Web DataBlade是连接Informix数据库和Web服务器的接口。 Informix Web DataBlade在对HTML编码的字符串处理存在漏洞,可导致远程攻击者以informax进程执行任意SQL查询语句,造成数据库破坏等攻击。 HTML编码的字符串当使用在SQL查询中会自动解码,开发者一般会使用$(WEBUNHTML)来检查所有用户输入,WDB会使用$(WEBUNHTML)函数来转换<>"&字符为HTML条目,当转化后的字符串传递给SQL查询时会提高安全性,但是如果提交的HTML编码包含一个双引用(double quote),$(WEBUNHTML)函数就会检查失败而导致任意SQL代码可执行。