Перейти к содержимому

Фотография

Работка для админа


  • Закрытая тема Тема закрыта
В теме одно сообщение

#1 splxgf

splxgf

    Большой брат

  • Пользователи
  • PipPipPipPipPipPipPipPipPip
  • 5 918 сообщений

Отправлено 14 Апрель 2005 - 11:36

SQL-инъекция в Invision Power Board
Программа: Invision Power Board 1.3.1 и более ранние версии

Опасность: Средняя

Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных уязвимого приложения.

Уязвимость существует из-за некорректной фильтрации входных данных в переменной '$this->first' (параметр st) функции Members сценария memberlist.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Пример:

http://[target]/forums/index.php?act=Members
&max_results=30&filter=1&sort_order=asc&
sort_key=name&st=SQL_INJECTION

URL производителя: www.invisionboard.com

Решение: Способов устранения уязвимости не существует в настоящее время.

Источник: http://www.securitylab.ru/54018.html

#2 Chemist

Chemist

    В прошлом создатель Pushkino.org

  • Модераторы
  • 1 398 сообщений

Отправлено 14 Апрель 2005 - 11:57

Спасибо. Уязвимость устранена.




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных