SQL-инъекция в Simple Machines Forum

Дата публикации:	04.07.2005
Дата изменения:	17.10.2006
Всего просмотров:	3709
Опасность:	Средняя
Наличие исправления:
Количество уязвимостей:	1
CVE ID:	Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:
	Уязвимые версии: Simple Machines Forum 1.0.4 и более ранние версии Описание: Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре 'msg'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Пример: http://[target]/index.php?action=post;msg=1%20 UN ION%20SELECT%20memberName,0,passwd, 0,0%20FROM%20smf_members%20WHERE% 201/;topic=8.0;sesc=[VALIDSESCIDHERE] URL производителя:* www.simplemachines.org Решение: Установите последнюю версию (1.0.5) с сайта производителя.
Ссылки:	Simple Machines Forum SQL Injection

SQL-инъекция в Simple Machines Forum

Подпишитесь на email рассылку