phpBB viewtopic.php topic_id远程SQL注入漏洞

漏洞信息详情

phpBB viewtopic.php topic_id远程SQL注入漏洞

• CNNVD编号：CNNVD-200308-018
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2003-0486
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2003-06-20
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  phpbb_group
• 漏洞来源：
  Rick rikul@bellsou…

phpBB是一款基于WEB的流行的论坛程序。
phpBB包含的viewtopic.php脚本不正确处理用户提交的请求，远程攻击者可以利用这个漏洞通过SQL注入攻击窃取用户敏感数据，或破坏数据库。
phpBB在调用viewtopic.php时，直接从GET请求中获得\”topic_id\”并传递给SQL查询命令中，因此，攻击者可以提交特殊的SQL字符串用于获得MD5密码，获得此密码信息可以用于自动登录或者进行暴力破解。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* lead developer of phpBB提供了暂时的解决方案，地址如下：

http://www.phpbb.com/phpBB/viewtopic.php?t=112052” target=”_blank”>
http://www.phpbb.com/phpBB/viewtopic.php?t=112052
厂商补丁：
phpBB Group
———–
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.phpbb.com/” target=”_blank”>
http://www.phpbb.com/

来源: XF
名称: phpbb-viewtopic-sql-injection(12366)
链接:http://xforce.iss.net/xforce/xfdb/12366

来源: BID
名称: 7979
链接:http://www.securityfocus.com/bid/7979

来源: www.phpbb.com
链接:http://www.phpbb.com/phpBB/viewtopic.php?t=112052

来源: BUGTRAQ
名称: 20030619 phpBB password disclosure by sql injection
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=105607263130644&w=2