|
|
|
|
|
|
|
|
|
|
SQL Injection in MyBB Le vulnerabilità sono dovute al fatto che il parametro 'querystring' passato allo script 'admin/adminfunctions.php', ed i parametri 'setid', 'expand', 'title', e 'sid2' passati allo script 'admin/templates.php', non sono validati correttamente prima di essere utilizzati in una query SQL. Questo permette ad un utente malevolo di manipolare le query attraverso il passaggio di codice SQL nei suddetti parametri. L'exploitazione della falla richiede l'accesso alla sezione di amministrazione. Le vulnerabilità sono state riscontrate nella versione 1.1.1. Altre versioni potrebbero essere affette dal problema. Soluzione:
|
