Изменение SQL запроса в phpBB2

Дата публикации:
05.08.2002
Всего просмотров:
1215
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: phpBB2 – бесплатный форум на PHP для Unix и Windows систем.

Gender Mod – дополнение к phpBB2, которое позволяет ассоциировать пол с данным профилем пользователя. В Gender mod обнаружена уязвимость внедрения SQL кода. Удаленный пользователь может изменить существующий SQL запрос при обновлении профиля пользователя, потенциально получая административный доступ к системе.

Пример:

"0, user_level = 1 "
Уязвимость обнаружена в Niels Chr Rød. Denmark Gender Mod 1.1.3

Ссылки: phpBB/gender mod allows get admin privilege, exploit/patch