Программа: Invision Power Board 1.3.1 и более ранние версии
Опасность: Средняя
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных уязвимого приложения.
Уязвимость существует из-за некорректной фильтрации входных данных в переменной '$this->first' (параметр st) функции Members сценария memberlist.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные SQL команды в базе данных приложения. Пример:
http://[target]/forums/index.php?act=Members
&max_results=30&filter=1&sort_order=asc&
sort_key=name&st=SQL_INJECTION
URL производителя: www.invisionboard.com
Решение: Способов устранения уязвимости не существует в настоящее время.
Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.
Вопрос
Teron
http://www.securitylab.ru/54009.html
Мдя, чего делать? Ждать официального апдейта?
Ссылка на комментарий
Поделиться на других сайтах
3 ответа на этот вопрос
Рекомендуемые сообщения