安全研究

安全漏洞
PunBB profile.php远程SQL注入漏洞

发布日期:2005-04-11
更新日期:2005-04-11

受影响系统:
PunBB PunBB 1.2.4
PunBB PunBB 1.2.3
PunBB PunBB 1.2.2
PunBB PunBB 1.2.1
PunBB PunBB 1.1.5
PunBB PunBB 1.1.4
PunBB PunBB 1.1.3
PunBB PunBB 1.1.2
PunBB PunBB 1.1.1
PunBB PunBB 1.1
PunBB PunBB 1.0.1
PunBB PunBB 1.0
描述:
BUGTRAQ  ID: 13071
CVE(CAN) ID: CVE-2005-1051

PunBB是一款基于PHP的论坛程序。

PunBB中存在SQL注入漏洞,远程攻击者可能非法获取数据库的访问。

起因是在SQL查询中使用用户提供的输入前没有正确的通过profile.php脚本检查用户输入。攻击者可以利用这个漏洞获取对有漏洞论坛的管理访问。

<*来源:exploits@nopiracy.deexploits@nopiracy.de
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111306207306155&w=2
*>

建议:
厂商补丁:

PunBB
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.punbb.org/

浏览次数:3933
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障