Benvenuto su WolfOtakar.Com

Benvenuto su WolfOtakar.Com

Entra nella chat del nostro portale!Per chiarimenti e spiegazioni!

SQL Injection in MyBB
04/28/2006

 
Sono state riscontrate alcune vulnerabilitÓ in MyBB che potrebbero essere sfruttate da un utente remoto per eseguire attacchi SQL Injection.

Le vulnerabilitÓ sono dovute al fatto che il parametro 'querystring' passato allo script 'admin/adminfunctions.php', ed i parametri 'setid', 'expand', 'title', e 'sid2' passati allo script 'admin/templates.php', non sono validati correttamente prima di essere utilizzati in una query SQL. Questo permette ad un utente malevolo di manipolare le query attraverso il passaggio di codice SQL nei suddetti parametri.

L'exploitazione della falla richiede l'accesso alla sezione di amministrazione.

Le vulnerabilitÓ sono state riscontrate nella versione 1.1.1. Altre versioni potrebbero essere affette dal problema.

 

Soluzione:
Nessuna patch disponibile al momento;
Editare il codice sorgente in modo da validare correttamente l'input.


Riferimenti:
http://secunia.com/advisories/19865/
 

 

   

Home Page