23 ноября 2004
Программа: Invision Power Board 2.х
Опасность: Высокая
Наличие эксплоита: Да
Описание: Уязвимость в Invision Power Board позволяет удаленному пользователю выполнить произвольные SQL команды на основной базе данных.
Уязвимость была обнаружена в результате автоматической проверки сканером безопасности Xspider 7.0.
Пример/Эксплоит:
http://site/forum/index.php?act=Post...f=2&t=1&qpid=1[sql_injection]
Result:
--------------------------------------------------------------------------
mySQL query error: select p.*,t.forum_id FROM ibf_posts p LEFT JOIN
ibf_topics t ON (t.tid=p.topic_id)
WHERE pid IN (1[sql_injection])
mySQL error: You have an error in your SQL syntax near '[sql_injection])' at
line 2
mySQL error code:
Date: Friday 12th of November 2004 06:53:25 PM
--------------------------------------------------------------------------
URL производителя:
http://www.invisionboard.com/
Решение:Установите обновленную версию форума:
http://forums.invisionpower.com/inde...owtopic=154916