SQL-injection в Invision Power Board 2.1.x

[KLez]

Недавно, поковыряв сорсы IPB, я обнаружил уязвимость в модуле ?act=Online, который выводит статистику юзеров, которые сейчас находятся на форуме. Проблема состоит в том, что переменная st не фильтруется должным образом. Возникает возможность внедрения SQL-инъекции.

 

http://victim/index.php?act=Online&st=-1[your_sql_code_here]

 

(discovered by red_byte)

[~* L O V E R *~]

На 2.0.0 чето не пашет

[Dr.Freddy]

Да что вы говорите?

 

	function auto_run()
{
	//-----------------------------------------
	// Are we allowed to see the online list?
	//-----------------------------------------

	$this->ipsclass->input['st'] = intval($this->ipsclass->input['st']);

[Song]

Кста покажите мне уязвимость, если даже будет возможность подставить что-нибудь в LIMIT

[yarweb]

Да что вы говорите?

Если оставить только "-1" то, в зависимости от настроек БД, MySQL может выдать ошибку или же вернуть результат но пустой. В случае ошибки раскрывается важная информация. Ф-ция "intval()" преобразует к целому значению переменную если она задана, а отрицательные числа тоже могут быть целыми однако.

SQL-injection нет, тема не раскрыта

[Hellish]

 $this->ipsclass->input['st'] = intval($this->ipsclass->input['st'>0]);

Или глупость?

[xRay]

Был же уже лавно фиксинг этого у Song на форуме

для 2.0.х

$this->first = Abs(intval($ibforums->input['st']));

[Hellish]

Был же уже лавно фиксинг этого у Song на форуме

для 2.0.х

 

Код

$this->first = Abs(intval($ibforums->input['st']));

 

Т.е. я понял что старый на этот заменить?

Но у меня 2.1.7

[Arhar]

$this->ipsclass->input['st'] = Abs(intval($this->ipsclass->input['st']));

банально по модулю