AntiBoard SQL注入及跨站脚本攻击漏洞-一一网

AntiBoard SQL注入及跨站脚本攻击漏洞

4年前更新

1380

漏洞信息详情

AntiBoard SQL注入及跨站脚本攻击漏洞

CNNVD编号：CNNVD-200412-484

危害等级：高危
CVE编号：
CVE-2004-2062
漏洞类型：

输入验证
发布时间：

2004-07-24
威胁类型：

远程
更新时间：

2005-10-20
厂商：

antiboard
漏洞来源：
Josh Gilmour※ gilm…

漏洞简介

AntiBoard是一款基于PHP的论坛程序。
AntiBoard对用户提交的参数缺少充分过滤，远程攻击者可以利用这个漏洞获得敏感信息或更改数据库。
\’\’antiboard.php\’\’脚本没有正确过滤用户输入，远程攻击者可以通过\’\’thread_id\’\’和\’\’parent_id\’\’字段注入SQL命令，可更改原有数据库逻辑导致修改数据库数据或获得敏感信息。
另外\’\’antiboard.php\’\’脚本也没有正确过滤HTML代码，因此攻击者可以构建恶意链接，诱使用户访问，可泄露目标用户基于COOKIE的验证信息。

漏洞公告

厂商补丁：
AntiBoard
———
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://freshmeat.net/projects/antiboard/” target=”_blank”>
http://freshmeat.net/projects/antiboard/

参考网址

来源: XF
名称: antiboard-get-sql-injection(16828)
链接:http://xforce.iss.net/xforce/xfdb/16828

来源: BID
名称: 10821
链接:http://www.securityfocus.com/bid/10821

来源: SECUNIA
名称: 12137
链接:http://secunia.com/advisories/12137

来源: BUGTRAQ
名称: 20040728 AntiBoard <= 0.7.2 XSS/SQL Injection
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=109105610220965&w=2

来源：NSFOCUS
名称：6748
链接：http://www.nsfocus.net/vulndb/6748

受影响实体

Antiboard Antiboard:0.7.1
Antiboard Antiboard:0.7.2
Antiboard Antiboard:0.7
Antiboard Antiboard:0.62
Antiboard Antiboard:0.63

© 版权声明

文章版权归作者所有，未经允许请勿转载。

THE END

喜欢就支持一下吧

相关推荐