»зменение логики SQL запроса в YaBB SE

ƒата публикации:
16.01.2003
¬сего просмотров:
1462
ќпасность:
Ќаличие исправлени€:
 оличество у€звимостей:
1
CVSSv2 рейтинг:
CVE ID:
Ќет данных
¬ектор эксплуатации:
¬оздействие:
CWE ID:
Ќет данных
Ќаличие эксплоита:
Ќет данных
”€звимые продукты:
ќписание: YaBB Ц попул€рна€ доска объ€влений.

ѕроблема обнаружена в сценарии Reminder.php в YaBB SE. ”€звимость позвол€ет удаленному неавторизованному пользователю изменить логику существующего SQL запроса, пример:

ќбнуление парол€ пользовател€:

http://www.myserver.com/yabbse/Reminder.php?
searchtype=esearch&user=[yourusername]'%20or%20memberName='[otherusername]
”€звимость обнаружена в YaBB SE 1.4.1

—сылки: [VSA0306] YABBSE 1.4.1 SQL Injection Bugs
или введите им€

CAPTCHA