漏洞信息详情

MyBB 多个SQL注入漏洞

• CNNVD编号：CNNVD-200801-334
• 危害等级： 高危
  
• CVE编号： CVE-2008-0383
• 漏洞类型： SQL注入
• 发布时间： 2008-01-22
• 威胁类型： 远程
• 更新时间： 2008-09-05
• 厂        商： mybb
• 漏洞来源： Janek Vind "waraxe...

漏洞简介

MyBB 是一款开源的BBS系统

MyBB 1.2.10以及之前版本中的多个SQL注入漏洞允许远程主持人和管理员借助以下几种方式执行任意的SQL命令：(1)moderation.php中的do_mergeposts操作的mergepost参数,(2)allreports操作中的rid参数,(3)moderation.php中的do_multimovethreads操作的threads参数或者(4)admin/usergroups.php的gid参数。

漏洞公告

目前厂商还没有提供补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.mybboard.net/download/latest

参考网址

来源: BID

名称: 27323

链接:http://www.securityfocus.com/bid/27323

来源: XF

名称: mybb-usergroups-sql-injection(39729)

链接:http://xforce.iss.net/xforce/xfdb/39729

来源: XF

名称: mybb-moderationphp-sql-injection(39728)

链接:http://xforce.iss.net/xforce/xfdb/39728

来源: MISC

链接:http://www.waraxe.us/advisory-62.HTML

来源: BUGTRAQ

名称: 20080116 [waraxe-2008-SA#062] - Multiple Sql Injections in MyBB 1.2.10

链接:http://www.securityfocus.com/archive/1/archive/1/486433/100/0/threaded

来源: SECUNIA

名称: 28509

链接:http://secunia.com/advisories/28509

来源: community.mybboard.net

链接:http://community.mybboard.net/showthread.php?tid=27227

来源: SREASON

名称: 3558

链接:http://securityreason.com/securityalert/3558

受影响实体

• Mybb Mybb:1.2.10  

补丁

暂无