SQL-инъекция в модуле ibProArcade

Дата публикации:	08.11.2005
Всего просмотров:	6627
Опасность:	Средняя
Наличие исправления:	Да
Количество уязвимостей:	1
CVE ID:	Нет данных
Вектор эксплуатации:	Удаленная
Воздействие:	Неавторизованное изменение данных
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	ibProArcade 2.x (модуль к Invision Power Board) ibProArcade 2.x (модуль к vBulletin)
	Уязвимые версии: ibProArcade 2.x (module for vBulletin) ibProArcade 2.x (module for Invision Power Board) Описание: Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует в модуле “Report” при обработке входных данных в параметре user сценария index.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Пример: IPB: index.php?act=Arcade&module=report&user=-1 union select password from ibf_members where id=[any_user] vBulettin forums: index.php?act=ibProArcade&module=report&user=-1 union select password from user where userid=[any_user] URL производителя: www.ibproarcade.com Решение: Установите последнюю версию (2.5.2) с сайта производителя. Источник:
Ссылки:	Sql injection in ibProArcade

SQL-инъекция в модуле ibProArcade

Подпишитесь на email рассылку