Lucene search
K
Database
Vendors
Products
Years
CVSS
Scanner
Agent Scanning
API Scanning
Manual Audit
Perimeter Scanner
Scanning
Projects
Email
Webhook
Plugins
Resources
Documents
Blog
Glossary
FAQ
Pricing
Contacts
About Us
Partners
Branding Guideline
seebugRootSSV:78
HistoryOct 25, 2006 - 12:00 a.m.

SoftBB多个远程代码执行及信息泄露漏洞

2006-10-2500:00:00
Root
www.seebug.org
238
JSON

SoftBB是一款基于WEB的论坛程序。

SoftBB v0.1中存在多个输入验证错误,如下:

  1. 在SQL查询时没有正确的验证对/addmembre.php文件中groupe参数及/moveto.php文件中select参数的输入,允许攻击者执行SQL注入攻击。

  2. 在PHP脚本中存储之前没有正确过滤对admin/save_opt.php中多个参数的输入,允许攻击者执行任意PHP代码。成功攻击可能要求管理员权限。

  3. 对index.php中page参数的输入没有正确的处理空的或无效的参数,允许攻击者判断安装路径。

SoftBB <= 0.1
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.softbb.be/

JSON