Перейти к контенту

SQL-инъекция в Invision Power Board


Рекомендуемые сообщения

Программа: Invision Power Board все версии

Опасность: Средняя

 

Наличие эксплоита: Да

 

Описание:

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

 

Уязвимость существует из-за недостаточной обработки входных данных в сценарии 'login.php'. Удаленный пользователь может с помощью специального запроса выполнить произвольные SQL команды в базе данных приложения.

 

URL производителя: www.invisionboard.com

 

Решение: Способов устранения уязвимости не существует в настоящее время.

 

http://www.securitylab.ru/55954.html

 

есть на это фикс?[1121721178:1121721292]есть что то но насколько оно подходит:

by:LooKiller

patch:

/sources/login.php

 

$mid = intval($std- gt;my_get #099;ookie(member_id));

$pid = $std- gt;my_get #099;ookie(pass_hash);

 

if ( get_magic_quotes_gpc() )

{

$pid = stripslashes($pid);

}

$pid = str_replace("_", "", $pid);

$pid = str_replace("%", "", $pid);

Временная мера. Ждем официального патча

Ссылка на комментарий
Поделиться на других сайтах

Решение: Способов устранения уязвимости не существует в настоящее время.

Подло обманывают ;):D

Ссылка на комментарий
Поделиться на других сайтах

граждане, уважаемые, ну есть же поиск и форум FAQ, ну неужели так тяжело вначале прочитать потом постить ???
Ссылка на комментарий
Поделиться на других сайтах

Гость
Эта тема закрыта для публикации сообщений.
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.