Перейти к содержанию
Авторизация  
splxgf

Работка для админа

Рекомендуемые сообщения

SQL-инъекция в Invision Power Board

Программа: Invision Power Board 1.3.1 и более ранние версии

 

Опасность: Средняя

 

Наличие эксплоита: Да

 

Описание:

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных уязвимого приложения.

 

Уязвимость существует из-за некорректной фильтрации входных данных в переменной '$this->first' (параметр st) функции Members сценария memberlist.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Пример:

 

http://[target]/forums/index.php?act=Members

&max_results=30&filter=1&sort_order=asc&

sort_key=name&st=SQL_INJECTION

 

URL производителя: www.invisionboard.com

 

Решение: Способов устранения уязвимости не существует в настоящее время.

 

Источник: http://www.securitylab.ru/54018.html

Поделиться сообщением


Ссылка на сообщение

Спасибо. Уязвимость устранена.

Поделиться сообщением


Ссылка на сообщение
Гость
Эта тема закрыта для публикации ответов.
Авторизация  

×