SQL-инъекция в UBB.threads

Дата публикации:22.04.2005
Всего просмотров:1966
Опасность:
Средняя
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: UBB.threads 6.x
Уязвимые версии: UBB.threads 6.x

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных уязвимого приложения.

Уязвимость существует из-за некорректной фильтрации данных в параметре main сценария printthread.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Удачная эксплуатация уязвимости требует выключенного параметра magic_quotes_gpc.

URL производителя: www.ubbcentral.com/ubbthreads/

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: UBB Thread printthread.php SQL Injection