IPB Army System SQL注入漏洞

时间:2006-02-25 来源: 作者: 点击:
漏洞信息 Army System是一款用于IPB的等级模块。 Army System不充分过滤用户提交的URI数据,远程攻击者可以利用漏洞进行SQL注入攻击获得敏感信息。 问题是'army.php'脚本对'userstat'参数缺少过滤,提交恶意SQL查询作为参数数据,可更改原来的SQL逻辑,获得敏感信息。
    漏洞信息

  Army System是一款用于IPB的等级模块。

  Army System不充分过滤用户提交的URI数据,远程攻击者可以利用漏洞进行SQL注入攻击获得敏感信息。

  问题是'army.php'脚本对'userstat'参数缺少过滤,提交恶意SQL查询作为参数数据,可更改原来的SQL逻辑,获得敏感信息。

  BUGTRAQ ID: 16606

  CNCAN ID:CNCAN-2006021404

  漏洞消息时间:2006-02-13

  漏洞起因

  输入验证错误

  影响系统

  supersmashbrothers Army System 2.1

  危害

  远程攻击者可以利用漏洞进行SQL注入攻击获得敏感信息。

  攻击所需条件

  攻击者必须访问Army System。

  厂商解决方案

  目前没有解决方案提供,请关注以下链接:

  http://supersmashbrothers.2ya.com/

  漏洞提供者

  SecuBox Labs

  漏洞消息链接

  http://marc.theaimsgroup.com/?l=bugtraq&m=113985881820615&w=2

  漏洞消息标题

  Invision Power Board Army System Mod <= 2.1 SQL Injection Exploit
------分隔线----------------------------
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
最新评论 查看所有评论
发表评论 查看所有评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 密码: 验证码:
推荐内容