OpenBB member.php远程SQL注入漏洞

2009-05-20T00:00:00
ID SSV:11369
Type seebug
Reporter Root
Modified 2009-05-20T00:00:00

Description

BUGTRAQ: 7405

OpenBB包含的'member.php'脚本对输入缺少充分检查,远程攻击者可以利用这个漏洞插入任意SQL命令到数据,导致信息泄露,数据破坏。 member.php脚本对UID参数过滤不充分,攻击者只要在参数数字后增加空格值,就可以在后面追加相关的SQL命令,注入恶意SQL命令可以导致数据库信息泄露,或破坏数据库。

OpenBB 1.0.5-1.1.0 厂商补丁: OpenBB


目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: <a href="http://www.openbb.co.uk/" target="_blank" rel=external nofollow>http://www.openbb.co.uk/</a>

                                        
                                            
                                                http://vulnerable/member.php?action=profile&amp;UID=1 &lt;something&gt;