漏洞信息详情
Invision Power Board远程SQL注入漏洞
- CNNVD编号:CNNVD-200412-365
- 危害等级: 高危
- CVE编号:
CVE-2004-1531
- 漏洞类型:
输入验证
- 发布时间:
2004-11-18
- 威胁类型:
远程
- 更新时间:
2005-10-20
- 厂 商:
invision_power_services - 漏洞来源:
Alexander Anisimov… -
漏洞简介
Invision Power Board是一款流行的基于WEB的论坛程序。
Invision Power Board \’\’index.php\’\’脚本不正确过滤用户提交的URL输入,远程攻击者可以利用这个漏洞进行SQL注入攻击,可能获得敏感信息或者破坏数据库。
\’\’index.php\’\’脚本由于对\’\’$qpid\’\’变量处理不充分,提交恶意SQL命令作为参数,可更改原来的SQL逻辑,可能获得敏感信息或者破坏数据库。
漏洞公告
厂商补丁:
Invision PS
———–
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://forums.invisionpower.com/index.php?showtopic=154916” target=”_blank”>
http://forums.invisionpower.com/index.php?showtopic=154916
http://forums.invisionpower.com/index.php?act=Attach&type=post&id=4992” target=”_blank”>
http://forums.invisionpower.com/index.php?act=Attach&type=post&id=4992
参考网址
来源: SECUNIA
名称: 13245
链接:http://secunia.com/advisories/13245
来源: forums.invisionpower.com
链接:http://forums.invisionpower.com/index.php?showtopic=154916
来源: XF
名称: invisionpowerboard-sql-injection(18164)
链接:http://xforce.iss.net/xforce/xfdb/18164
来源: BID
名称: 11703
链接:http://www.securityfocus.com/bid/11703
来源: BUGTRAQ
名称: 20050427 Re: SQL-injections in Invision Power Board v2.0.1
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111462421824202&w=2
来源: BUGTRAQ
名称: 20050425 SQL-injections in Invision Power Board v2.0.1
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111454805209191&w=2
来源: BUGTRAQ
名称: 20041118 [MaxPatrol] SQL-injection in Invision Power Board 2.x
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110079592702417&w=2
来源:NSFOCUS
名称:7131
链接:http://www.nsfocus.net/vulndb/7131