BBSGood论坛程序create_index_html.asp页面SQL注入漏洞

2010-05-13T00:00:00
ID SSV:19604
Type seebug
Reporter Root
Modified 2010-05-13T00:00:00

Description

BBSGOOD是国内首创使用缓存技术的论坛,BBSGOOD的帖子和列表首页是可以生成静态HTML文件的。

在文件create_index_html.asp中: sql="select top 1 Admin,UserName,Password from BBSGood_Admin where UserName='"&Request.Cookies(bbsinfo&"adminuser")&"' " //第127行 程序没有验证用户是否登陆,导致cookies的值没有过滤而产生注入漏洞

BBSGood 5.0/5.0.2 厂商补丁: BBSGood.Speed


目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.bbsgood.com/