SQL-инъекция в Elite Bulletin Board

Дата публикации:	21.12.2012
Всего просмотров:	5002
Опасность:	Средняя
Наличие исправления:	Да
Количество уязвимостей:	1
CVSSv2 рейтинг:	5.8 (AV:N/AC:M/Au:N/C:P/I:P/A:N/E:U/RL:O/RC:C)
CVE ID:	CVE-2012-5874
Вектор эксплуатации:	Удаленная
Воздействие:	Неавторизованное изменение данных
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	Elite Bulletin Board 2.x
	Уязвимые версии: Elite Bulletin Board 2.1.21, возможно другие версии Описание: Уязвимость позволяет удаленному пользователю осуществить неавторизованное изменение данных на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных, прилагаемых к определенным сценариям в функциях update_whosonline_reg() и update_whosonline_guest() (в том числе /user_function.php). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Перечень уязвимых сценариев: http://[host]/checkuser.php http://[host]/groups.php http://[host]/index.php http://[host]/login.php http://[host]/quicklogin.php http://[host]/register.php http://[host]/search.php http://[host]/viewboard.php http://[host]/viewtopic.php URL производителя: http://elite-board.us/ Решение: Для устранения уязвимости установите продукт версии 2.1.22 с сайта производителя.
Ссылки:	http://elite-board.us/Community/viewtopic.php https://www.htbridge.com/advisory/HTB23133

SQL-инъекция в Elite Bulletin Board

Подпишитесь на email рассылку