Vanilla Forums 多个SQL注入漏洞

漏洞信息详情

Vanilla Forums 多个SQL注入漏洞

• CNNVD编号：CNNVD-201304-119
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2013-3527
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2013-04-12
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2020-06-05
  
• 厂        商：
  
  vanillaforums
• 漏洞来源：
  Michael Schratt

Vanilla Forums是加拿大Vanilla Forums公司的一款基于PHP的开源论坛程序。

Vanilla Forums 2.0.18.8之前的版本中存在多个SQL注入漏洞，这些漏洞源于构造SQL查询语句之前，程序没有正确过滤用户提供的输入。攻击者利用这些漏洞完全控制程序，访问或修改数据，或利用底层数据库中潜在的漏洞。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://vanillaforums.org/discussion/23339/security-update-vanilla-2-0-18-7

来源:MISC

链接:http://mfs-enterprise.com/wordpress/2013/04/05/vanilla-forums-2-0-18-sql-injection-insert-arbitrary-user-dump-usertable/

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2013/Apr/57

来源:SECUNIA

链接:http://secunia.com/advisories/52825

来源:XF

链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/83289

来源:OSVDB

链接:http://osvdb.org/92109

来源:MISC

链接:https://packetstormsecurity.com/files/121151/Vanilla-Forums-2.0.18.4-SQL-Injection.html

来源:EXPLOIT-DB

链接:http://www.exploit-db.com/exploits/24927

来源:OSVDB

链接:http://osvdb.org/92110

来源:BID

链接:https://www.securityfocus.com/bid/58922

来源:CONFIRM

链接:https://github.com/vanillaforums/Garden/commit/83078591bc4d263e77d2a2ca283100997755290d

来源:BUGTRAQ

链接:http://archives.neohapsis.com/archives/bugtraq/2013-04/0068.html

来源:CONFIRM

链接:http://vanillaforums.org/discussion/23339/security-update-vanilla-2-0-18-7