发布日期：2004-01-05
更新日期：2004-01-09

受影响系统：

VBulletin VBulletin 2.3.3
VBulletin VBulletin 2.3.2
VBulletin VBulletin 2.3.1
VBulletin VBulletin 2.3.0

不受影响系统：

VBulletin VBulletin 2.3.4

描述：

---

vBulletin是一款基于WEB的论坛程序。

vBulletin包含的"calendar.php"脚本对用户提交参数缺少充分过滤，远程攻击者可以利用这个漏洞进行SQL注入攻击，可获得敏感信息和更改数据库。

"calendar.php"脚本对URI中的"eventid"参数缺少验证，攻击者提交包含恶意SQL命令的字符串作为"eventid"参数，可更改原有SQL逻辑，获得敏感信息和更改数据库。

<*来源：mslug
  
  链接：http://www.secunia.com/advisories/10557/
*>

建议：

---

厂商补丁：

VBulletin
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载升级到vBulletin 2.3.4版本以上：

http://www.vbulletin.com/

浏览次数：4932
严重程度：0（网友投票）