phpBB Advanced Links Mod links.php SQL注入漏洞

2007-09-07T00:00:00
ID SSV:2196
Type seebug
Reporter Root
Modified 2007-09-07T00:00:00

Description

phpBB Advanced Links Mod是一款基于PHP的WEB应用程序。 phpBB Advanced Links Mod不正确过滤用户提交的输入,远程攻击者可以利用漏洞进行SQL注入攻击,可获得敏感信息或操作数据库。 问题是'links.php'脚本对用户提交的WEB参数缺少过滤,提交恶意SQL查询作为参数数据,可更改原来的SQL逻辑,获得敏感信息或操作数据库。

Advanced Links Mod Advanced Links Mod 1.2.2 目前没有解决方案提供: <a href="http://www.phpbb.com/community/viewtopic.php?t=110836" target="_blank">http://www.phpbb.com/community/viewtopic.php?t=110836</a>

                                        
                                            
                                                #!/usr/bin/perl&nbsp;
print&nbsp;q{&nbsp;
phpBB&nbsp;&lt;=&nbsp;2.0.22&nbsp;-&nbsp;Links&nbsp;MOD&nbsp;&lt;=&nbsp;v1.2.2&nbsp;Remote&nbsp;SQL&nbsp;Injection&nbsp;Exploit&nbsp;
Bug&nbsp;discovered&nbsp;by&nbsp;Don
Dork:&nbs