漏洞信息详情
AntiBoard SQL注入及跨站脚本攻击漏洞
- CNNVD编号:CNNVD-200412-484
- 危害等级: 高危
- CVE编号: CVE-2004-2062
- 漏洞类型: 输入验证
- 发布时间: 2004-07-24
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: antiboard
- 漏洞来源: Josh Gilmour※ gilm...
漏洞简介
AntiBoard是一款基于PHP的论坛程序。 AntiBoard对用户提交的参数缺少充分过滤,远程攻击者可以利用这个漏洞获得敏感信息或更改数据库。 \'\'antiboard.php\'\'脚本没有正确过滤用户输入,远程攻击者可以通过\'\'thread_id\'\'和\'\'parent_id\'\'字段注入SQL命令,可更改原有数据库逻辑导致修改数据库数据或获得敏感信息。 另外\'\'antiboard.php\'\'脚本也没有正确过滤HTML代码,因此攻击者可以构建恶意链接,诱使用户访问,可泄露目标用户基于COOKIE的验证信息。
漏洞公告
厂商补丁: AntiBoard --------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://freshmeat.net/projects/antiboard/
参考网址
来源: XF 名称: antiboard-get-sql-injection(16828) 链接:http://xforce.iss.net/xforce/xfdb/16828 来源: BID 名称: 10821 链接:http://www.securityfocus.com/bid/10821 来源: SECUNIA 名称: 12137 链接:http://secunia.com/advisories/12137 来源: BUGTRAQ 名称: 20040728 AntiBoard <= 0.7.2="" xss/sql="" injection="" 链接:http://marc.theaimsgroup.com/?l="bugtraq&m=109105610220965&w=2" 来源:nsfocus="" 名称:6748="" 链接:http://www.nsfocus.net/vulndb/6748="">
受影响实体
- Antiboard Antiboard:0.7.1
- Antiboard Antiboard:0.7.2
- Antiboard Antiboard:0.7
- Antiboard Antiboard:0.62
- Antiboard Antiboard:0.63
补丁
暂无
评论