Security Lab

SQL-инъекция в miniBB

Дата публикации:17.11.2004
Всего просмотров:3058
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: miniBB версии до 1.7f

Описание:
Уязвимость обнаружена в miniBB. Удаленный атакующий может выполнить произвольные SQL команды на системе.

Уязвимость существует из-за некорректной фильтрации данных в параметре user файла index.php. Удаленный атакующий может с помощью специально сформированного запроса получить пароли из базы данных. Пример:

http://[target]/minibb/index.php?action=userinfo&user=1%20union%20select%201,2,user_password%20from%20minibb_users/*

URL производителя: http://www.minibb.net/

Решение: Установите исправление
http://www.minibb.net/index.php?p=download

Ссылки: miniBB Input Validation Hole in 'user' Parameter Lets Remote Users Inject SQL Commands