SCANV团队预警libsys图书馆系统注入漏洞

近日，SCANV团队监测到一个libsys图书馆系统的注入漏洞。该漏洞可使黑客获取到数据库信息，恶意篡改数据，甚至造成“拖库”等危害。SCANV团队预警站长关注此漏洞。

libsys是江苏汇文软件公司推出的一款基于B/S架构的图书馆自动化系统，主要服务于国内各大院校的图书馆，国内42%的“211工程大学”和诸多的“985工程大学”均采用了libsys图书馆管理系统。

SCANV团队研究人员分析此漏洞时发现，该系统asord_marc_record.php文件中的某个参数，由于没有进行安全过滤会形成注入漏洞，从而让黑客能够轻松获取到敏感信息，进而可以对数据进行恶意篡改，甚至会造成“拖库”等危险。统计显示，国内近百所高校图书馆系统存在此漏洞，面临遭到黑客攻击的威胁。

SCANV安全提醒广大高校及时联系libsys官方并升级最新系统补丁，并建议使用加速乐对网站进行进一步的防范。