漏洞信息详情
vBulletin SQL注入漏洞
- CNNVD编号:CNNVD-201407-547
- 危害等级: 高危
- CVE编号: CVE-2014-5102
- 漏洞类型: SQL注入
- 发布时间: 2014-07-24
- 威胁类型: 远程
- 更新时间: 2014-07-28
- 厂 商: vbulletin
- 漏洞来源:
漏洞简介
vBulletin是美国Internet Brands和vBulletin Solutions公司共同开发的一款开源的商业Web论坛程序。
vBulletin 5.0.4至5.1.3 Alpha 5版本中存在SQL注入漏洞,该漏洞源于ajax/render/memberlist_items脚本没有充分过滤‘criteria[startswith]’参数。远程攻击者可利用该漏洞执行任意SQL命令。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.vbulletin.com/forum/forum/vbulletin-announcements/vbulletin-announcements_aa/4097503-security-patch-release-for-vbulletin-5-0-4-5-0-5-5-1-0-5-1-1-and-5-1-2
参考网址
来源:www.vbulletin.com
链接:http://www.vbulletin.com/forum/forum/vbulletin-announcements/vbulletin-announcements_aa/4097503-security-patch-release-for-vbulletin-5-0-4-5-0-5-5-1-0-5-1-1-and-5-1-2
来源:www.pcworld.com
链接:http://www.pcworld.com/article/2455500/emergency-vbulletin-patch-fixes-dangerous-sql-injection-vulnerability.HTML
来源:packetstormsecurity.com
链接:http://packetstormsecurity.com/files/127537/vBulletin-5.1.2-SQL-Injection.HTML
来源: BID
链接:http://www.securityfocus.com/bid/68709
受影响实体
- Vbulletin Vbulletin:5.0.4
- Vbulletin Vbulletin:5.0.5
- Vbulletin Vbulletin:5.1.2
- Vbulletin Vbulletin:5.1.1
- Vbulletin Vbulletin:5.1.0
补丁
暂无
评论