漏洞信息详情
Invision Power Board用户配置文件和订单管理器多个输入验证漏洞
- CNNVD编号:CNNVD-200709-211
- 危害等级: 低危
- CVE编号: CVE-2007-4914
- 漏洞类型: 输入验证
- 发布时间: 2007-09-17
- 威胁类型: 远程
- 更新时间: 2007-10-08
- 厂 商: invision_power_services
- 漏洞来源:
漏洞简介
Invision Power Board是一个非常流行的PHP论坛程序。
Invision Power Board的ips_kernel/class_ajax.php文件没有正确地验证用户配置文件中某些字段的输入,允许攻击者注入任意HTML和脚本代码,如果浏览了恶意用户的配置文件就会在管理用户浏览器环境中执行这些代码。成功攻击要求将Invision Power Board配置为使用非iso-8859-1和utf-8字符集。
Invision Power Board的订单管理器在处理支付时存在漏洞,攻击者可以通过提交特制的支付表单修改成员ID。成功利用这个漏洞可以将管理员和版主降级到订单用户组,但要求启用了订单软件包。
<*链接:http://secunia.com/advisories/19830/print/
http://forums.invisionpower.com/index.php?showtopic=237075
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://forums.invisionpower.com/index.php?act=attach&type=post&id=11869
参考网址
来源: forums.invisionpower.com
链接:http://forums.invisionpower.com/index.php?showtopic=237075
来源: forums.invisionpower.com
链接:http://forums.invisionpower.com/index.php?act=attach&type=post&id=11870
来源: XF
名称: ipb-subscription-unauthorized-access(36590)
链接:http://xforce.iss.net/xforce/xfdb/36590
来源: BID
名称: 25656
链接:http://www.securityfocus.com/bid/25656
来源: SECUNIA
名称: 26788
链接:http://secunia.com/advisories/26788
来源: OSVDB
名称: 41323
链接:http://osvdb.org/41323
来源: OSVDB
名称: 41322
链接:http://osvdb.org/41322
来源: OSVDB
名称: 41321
链接:http://osvdb.org/41321
来源: OSVDB
名称: 41320
链接:http://osvdb.org/41320
来源: OSVDB
名称: 41319
链接:http://osvdb.org/41319
受影响实体
- Invision_power_services Invision_power_board:2.1.5_2006-04-25
- Invision_power_services Invision_power_board:2.1.5_2006-03-08
- Invision_power_services Invision_power_board:2.3.1
- Invision_power_services Invision_power_board:2.2.2
- Invision_power_services Invision_power_board:2.2.1
补丁
暂无
评论