DeluxeBB cp.php 远程SQL注入漏洞

漏洞信息详情

DeluxeBB cp.php 远程SQL注入漏洞

• CNNVD编号：CNNVD-200606-563
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2006-3304
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2006-06-28
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-07-03
  
• 厂        商：
  
  deluxebb
• 漏洞来源：
  Hessam-x Hessamx@H…

DeluxeBB是一款基于PHP的论坛程序。

DeluxeBB对用户请求的处理存在输入验证漏洞，远程攻击者可能利用此漏洞对服务执行SQL注入攻击，导致非授权访问控制数据库，获取服务的管理用户权限。

DeluxeBB的用户控制面板cp.php脚本中存在SQL注入漏洞，允许用户通过在升级设置中注入查询更改访问级别，获得管理权限。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.cisco.com/warp/public/707/cisco-sa-20060628-wcs.shtml

来源: SECUNIA

名称: 20813

链接:http://secunia.com/advisories/20813

来源: BID

名称: 18648

链接:http://www.securityfocus.com/bid/18648

来源: BUGTRAQ

名称: 20060625 DeluxeBB 1.07 Create admin Exploit

链接:http://www.securityfocus.com/archive/1/archive/1/438342/100/0/threaded

来源: MILW0RM

名称: 1953

链接:http://www.milw0rm.com/exploits/1953

来源: VUPEN

名称: ADV-2006-2530

链接:http://www.frsirt.com/english/advisories/2006/2530

来源: SECTRACK

名称: 1016384

链接:http://securitytracker.com/id?1016384

来源: XF

名称: deluxebb-cp-sql-injection(27443)

链接:http://xforce.iss.net/xforce/xfdb/27443

来源: SREASON

名称: 1180

链接:http://securityreason.com/securityalert/1180

来源: MILW0RM

名称: 1953

链接:http://milw0rm.com/exploits/1953