MiniBB多个SQL注入和跨站脚本漏洞

漏洞信息详情

MiniBB多个SQL注入和跨站脚本漏洞

• CNNVD编号：CNNVD-200804-446
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2008-2029
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2008-04-30
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2008-10-30
  
• 厂        商：
  
  minibb
• 漏洞来源：
  GiReX

MiniBB（全称Minimalistic Bulletin Board）是一套免费、开源的互联网论坛软件。该软件支持多种论坛样式、多界面语言、多时区、插件扩展等。

MiniBB的实现上存在多个SQL注入漏洞，远程攻击者可能利用此漏洞对服务程序执行SQL注入攻击。

如果将action设置为registernew的话，MiniBB的index.php文件中没有正确地验证对lang参数的输入便返回给了用户，这可能允许攻击者在用户浏览器会话中执行任意HTML和脚本代码。

如果将action设置为userinfo的话，MiniBB的index.php文件中没有正确地过滤对xtr参数的输入便将其使用在了SQL查询中，这允许远程攻击者执行SQL注入攻击。

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.minibb.net/download.php?file=minibb

来源: BID

名称: 28930

链接:http://www.securityfocus.com/bid/28930

来源: XF

名称: minibb-multiple-sql-injection(42014)

链接:http://xforce.iss.net/xforce/xfdb/42014

来源: www.minibb.net

链接:http://www.minibb.net/forums/9_5110_0.html

来源: MILW0RM

名称: 5494

链接:http://www.milw0rm.com/exploits/5494