Invision Power Board远程SQL注入漏洞

漏洞信息详情

Invision Power Board远程SQL注入漏洞

漏洞简介

Invision Power Board是一款流行的基于WEB的论坛程序。
Invision Power Board \’\’index.php\’\’脚本不正确过滤用户提交的URL输入,远程攻击者可以利用这个漏洞进行SQL注入攻击,可能获得敏感信息或者破坏数据库。
\’\’index.php\’\’脚本由于对\’\’$qpid\’\’变量处理不充分,提交恶意SQL命令作为参数,可更改原来的SQL逻辑,可能获得敏感信息或者破坏数据库。

漏洞公告

厂商补丁:
Invision PS
———–
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://forums.invisionpower.com/index.php?showtopic=154916” target=”_blank”>
http://forums.invisionpower.com/index.php?showtopic=154916

http://forums.invisionpower.com/index.php?act=Attach&type=post&id=4992” target=”_blank”>
http://forums.invisionpower.com/index.php?act=Attach&type=post&id=4992

参考网址

来源: SECUNIA
名称: 13245
链接:http://secunia.com/advisories/13245

来源: forums.invisionpower.com
链接:http://forums.invisionpower.com/index.php?showtopic=154916

来源: XF
名称: invisionpowerboard-sql-injection(18164)
链接:http://xforce.iss.net/xforce/xfdb/18164

来源: BID
名称: 11703
链接:http://www.securityfocus.com/bid/11703

来源: BUGTRAQ
名称: 20050427 Re: SQL-injections in Invision Power Board v2.0.1
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111462421824202&w=2

来源: BUGTRAQ
名称: 20050425 SQL-injections in Invision Power Board v2.0.1
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111454805209191&w=2

来源: BUGTRAQ
名称: 20041118 [MaxPatrol] SQL-injection in Invision Power Board 2.x
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110079592702417&w=2

来源:NSFOCUS
名称:7131
链接:http://www.nsfocus.net/vulndb/7131

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享