Security Lab

Раскрытие префикса таблиц в MyBB

Дата публикации:25.01.2006
Дата изменения:24.03.2009
Всего просмотров:2712
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие системных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: MyBB (formerly MyBulletinBoard) 1.x
Уязвимые версии: MyBB 1.0.2, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к потенциально важным данным.

Уязвимость существует из-за того, что сообщение об ошибке в SQL запросе выводится в браузер пользователя. Удаленный пользователь может с помощью специально сформированного запроса получить данные об используемом префиксе таблиц в базе данных. Пример:

http://[victim]/search.php?s=de1aaf9b&action=
do_search&keywords=a&srchtype=3

URL производителя: www.mybboard.com

Решение: Установите последнюю версию с сайта производителя.

Источник:

Журнал изменений:
24.03.2009
Изменена секция "Решение"

Ссылки: MyBB 1.0.2 Sniffing table perfix bug in search.php