漏洞信息详情

YaBB论坛配置文件回车注入远程权限提升漏洞

• CNNVD编号：CNNVD-200706-262
• 危害等级： 中危
  
• CVE编号： CVE-2007-3208
• 漏洞类型： 输入验证
• 发布时间： 2007-06-14
• 威胁类型： 远程
• 更新时间： 2007-06-19
• 厂        商： yabb
• 漏洞来源： Peter Vreugdenhil

漏洞简介

YaBB是用Perl编写的开源论坛系统。

YaBB在将某些配置文件表单字段写入到配置文件数据(.vars)文件之前没有正确地验证输入，允许攻击者通过注入特殊字符获得论坛管理员权限。

由于可以在注册期间执行攻击，因此未经认证的攻击者也可以在注册时通过register.pl脚本获得管理员权限。

漏洞公告

临时解决方法：

如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 禁用论坛的注册功能。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

YaBB

----

http://www.yabbforum.com/community/?board=general;action=display;num=1181678785

参考网址

来源: BID

名称: 24455

链接:http://www.securityfocus.com/bid/24455

来源: SECUNIA

名称: 25656

链接:http://secunia.com/advisories/25656

来源: www.yabbforum.com

链接:http://www.yabbforum.com/community/?board=general;action=display;num=1181678785

来源: SECTRACK

名称: 1018236

链接:http://www.securitytracker.com/id?1018236

来源: OSVDB

名称: 37237

链接:http://osvdb.org/37237

来源: OSVDB

名称: 37236

链接:http://osvdb.org/37236

来源: IDEFENSE

名称: 20070612 YaBB Forum member.vars CRLF

链接:http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=538

来源: XF

名称: yabb-vars-privilege-escalation(34848)

链接:http://xforce.iss.net/xforce/xfdb/34848

受影响实体

• Yabb Yabb:2.1  

补丁

暂无