Security Lab

Изменение SQL запроса в phpBB2

Дата публикации:05.08.2002
Всего просмотров:1403
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: phpBB2 – бесплатный форум на PHP для Unix и Windows систем.

Gender Mod – дополнение к phpBB2, которое позволяет ассоциировать пол с данным профилем пользователя. В Gender mod обнаружена уязвимость внедрения SQL кода. Удаленный пользователь может изменить существующий SQL запрос при обновлении профиля пользователя, потенциально получая административный доступ к системе.

Пример:

"0, user_level = 1 "
Уязвимость обнаружена в Niels Chr Rød. Denmark Gender Mod 1.1.3
Ссылки: phpBB/gender mod allows get admin privilege, exploit/patch