SQL инъекция в Invision Power Board

Дата публикации:
23.11.2004
Дата изменения:
17.10.2006
Всего просмотров:
8668
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Invision Power Board 2.х

Описание: Уязвимость в Invision Power Board позволяет удаленному пользователю выполнить произвольные SQL команды на основной базе данных.

Уязвимость была обнаружена в результате автоматической проверки сканером безопасности Xspider 7.0.

Пример/Эксплоит:

  http://site/forum/index.php?act=Post&CODE=02&f=2&t=1&qpid=1[sql_injection]


   Result:

 --------------------------------------------------------------------------
   mySQL query error: select p.*,t.forum_id FROM ibf_posts p LEFT JOIN 
ibf_topics t ON (t.tid=p.topic_id)
                                   WHERE pid IN (1[sql_injection])
   
   mySQL error: You have an error in your SQL syntax near '[sql_injection])' at 
line 2
   mySQL error code: 
   Date: Friday 12th of November 2004 06:53:25 PM
 --------------------------------------------------------------------------

URL производителя: http://www.invisionboard.com/

Решение:Установите обновленную версию форума: http://forums.invisionpower.com/index.php?showtopic=154916


или введите имя

CAPTCHA