发布日期：2004-03-16
更新日期：2004-03-23

受影响系统：

phpBB Group phpBB 2.0.6 c

描述：

---

BUGTRAQ  ID: 9896
CVE(CAN) ID: CVE-2004-2358

phpBB2是一款由PHP编写的WEB论坛应用程序，支持多种数据库系统，可使用在多种Unix和Linux操作系统下。

phpBB2包含的"admin_words.php"脚本在处理"id"变量时缺少充分过滤，远程攻击者可以利用这个漏洞进行跨站脚本执行或SQL注入攻击，可能获得用户敏感数据信息。

"admin_words.php"脚本对用户提交的数据缺少充分过滤，可提交恶意的SQL命令或脚本代码作为'id'参数，导致更改数据库信息或恶意脚本在用户浏览器上执行，可能获得用户敏感数据信息。

<*来源：Janek Vind （come2waraxe@yahoo.com）
  *>

建议：

---

厂商补丁：

phpBB Group
-----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.phpbb.com/

浏览次数：3049
严重程度：0（网友投票）