Woltlab Burning Board WBB_UserID SQL注入漏洞

2006-11-29T00:00:00
ID SSV:589
Type seebug
Reporter Root
Modified 2006-11-29T00:00:00

Description

Woltlab Burning Board是一款基于PHP的WEB应用程序。

Woltlab Burning Board不充分过滤用户提交的URI输入,远程攻击者可以利用漏洞进行SQL注入攻击,获得敏感信息。

问题是脚本对用户提交的'WBB_UserID'参数缺少过滤,提交恶意SQL查询作为参数数据,可更改原来的SQL逻辑,获得敏感信息。

WoltLab Burning Board Lite 1.0.2 <a href="http://www.woltlab.de/products/burning_board_lite/index_en.php" target="_blank">http://www.woltlab.de/products/burning_board_lite/index_en.php</a>