YABB SE多个输入验证漏洞

漏洞信息详情

YABB SE多个输入验证漏洞

• CNNVD编号：CNNVD-200411-057
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2004-0343
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2004-03-01
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  yabb
• 漏洞来源：
  Alnitak
  backspace※…

YABB SE是一款基于PHP/MySQL的论坛程序。
YABB SE由于不正确的输入验证，远程攻击者可以利用这些漏洞进行SQL注入和目录遍历攻击。
SQL注入漏洞存在于ModifyMessage函数中，由于对$msg参数没有进行任何输入检查，因此可造成SQL注入攻击。造成敏感信息泄露和数据库信息删除。
目录遍历攻击是由于ModifyMessage函数没有对用户提交给$attachOld参数包含\”../\”字符的数据缺少过滤，攻击者可能以WEB进程权限查看系统任意文件内容。

厂商补丁：
YaBB
—-
用户必须升级到SMF 1.0 Public Beta 4，另外YaBB SE由于不在支持，供应商将不提供补丁：

http://www.simplemachines.org/download.php” target=”_blank”>
http://www.simplemachines.org/download.php

来源: BID
名称: 9774
链接:http://www.securityfocus.com/bid/9774

来源: XF
名称: yabb-multiple-sql-injection(15354)
链接:http://xforce.iss.net/xforce/xfdb/15354

来源: BUGTRAQ
名称: 20040301 YabbSE (3 on 1)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=107816202813083&w=2