PBBoard 多个SQL注入漏洞

漏洞信息详情

PBBoard 多个SQL注入漏洞

• CNNVD编号：CNNVD-201208-079
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2012-4034
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2012-08-10
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-08-10
  
• 厂        商：
  
  pbboard
• 漏洞来源：

PBBoard是一套基于PHP和MySQL的内容管理应用程序（CMS）。该系统支持多语言、多种模块等。

PBBoard中存在多个SQL注入漏洞，可被恶意攻击者利用进行跨站请求伪造和SQL注入攻击以及绕过一定的安全限制。该漏洞源于借助传送至index.php的‘username’POST参数(当‘page’设置为‘send’)、‘email’POST参数(当‘page’设置为‘forget’)的输入，在用于SQL查询之前未正确验证。攻击者利用该漏洞通过注入任意SQL代码进行SQL查询。PBBoard 2.1.4版本中存在漏洞，其他版本也可能受到影响。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.pbboard.com/

来源: www.htbridge.com

链接:https://www.htbridge.com/advisory/HTB23101

来源: XF

名称: pbboard-indexscript-sql-injection(77501)

链接:http://xforce.iss.net/xforce/xfdb/77501

来源: BID

名称: 54916

链接:http://www.securityfocus.com/bid/54916

来源: www.pbboard.com

链接:http://www.pbboard.com/forums/t10353.html

来源: www.pbboard.com

链接:http://www.pbboard.com/forums/t10352.html

来源: SECUNIA

名称: 50153

链接:http://secunia.com/advisories/50153

来源: OSVDB

名称: 84480

链接:http://osvdb.org/84480