漏洞信息详情
MyBB Archive Mode (Light) 'init.php'SQL注入漏洞
- CNNVD编号:CNNVD-200607-303
- 危害等级: 高危
- CVE编号: CVE-2006-3758
- 漏洞类型: SQL注入
- 发布时间: 2006-07-21
- 威胁类型: 远程
- 更新时间: 2006-10-05
- 厂 商: mybulletinboard
- 漏洞来源:
漏洞简介
MyBB (又称 MyBulletinBoard) 1.1.4中的Archive Mode (Light)中的inc/init.php调用带有HTTP POST上的EXTR_OVERWRITE和GET变量的extract函数,可以使远程攻击者重写任意变量,比如通过使用archive/index.php中的_SERVER[HTTP_CLIENT_IP]参数进行的SQL注入。
漏洞公告
参考网址
来源: XF
名称: mybb-index-sql-injection(27445)
链接:http://xforce.iss.net/xforce/xfdb/27445
来源: SECUNIA
名称: 20873
链接:http://secunia.com/advisories/20873
来源: OSVDB
名称: 26809
链接:http://www.osvdb.org/26809
来源: www.mybboard.com
链接:http://www.mybboard.com/archive.php?nid=15
来源: MISC
链接:http://myimei.com/security/2006-06-24/mybb104archive-modelight-parameter-extractionvarable-overwriting.HTML
来源: community.mybboard.net
链接:http://community.mybboard.net/showthread.php?tid=10115
受影响实体
- Mybulletinboard Mybulletinboard:1.1.4
补丁
暂无
评论