漏洞信息详情

MyBB Archive Mode (Light) 'init.php'SQL注入漏洞

• CNNVD编号：CNNVD-200607-303
• 危害等级： 高危
  
• CVE编号： CVE-2006-3758
• 漏洞类型： SQL注入
• 发布时间： 2006-07-21
• 威胁类型： 远程
• 更新时间： 2006-10-05
• 厂        商： mybulletinboard
• 漏洞来源：

漏洞简介

MyBB (又称 MyBulletinBoard) 1.1.4中的Archive Mode (Light)中的inc/init.php调用带有HTTP POST上的EXTR_OVERWRITE和GET变量的extract函数，可以使远程攻击者重写任意变量，比如通过使用archive/index.php中的_SERVER[HTTP_CLIENT_IP]参数进行的SQL注入。

漏洞公告

参考网址

来源: XF

名称: mybb-index-sql-injection(27445)

链接:http://xforce.iss.net/xforce/xfdb/27445

来源: SECUNIA

名称: 20873

链接:http://secunia.com/advisories/20873

来源: OSVDB

名称: 26809

链接:http://www.osvdb.org/26809

来源: www.mybboard.com

链接:http://www.mybboard.com/archive.php?nid=15

来源: MISC

链接:http://myimei.com/security/2006-06-24/mybb104archive-modelight-parameter-extractionvarable-overwriting.HTML

来源: community.mybboard.net

链接:http://community.mybboard.net/showthread.php?tid=10115

受影响实体

• Mybulletinboard Mybulletinboard:1.1.4  

补丁

暂无