漏洞信息详情
MyBB 多个SQL注入漏洞
- CNNVD编号:CNNVD-200801-334
- 危害等级: 高危
- CVE编号: CVE-2008-0383
- 漏洞类型: SQL注入
- 发布时间: 2008-01-22
- 威胁类型: 远程
- 更新时间: 2008-09-05
- 厂 商: mybb
- 漏洞来源: Janek Vind "waraxe...
漏洞简介
MyBB 是一款开源的BBS系统
MyBB 1.2.10以及之前版本中的多个SQL注入漏洞允许远程主持人和管理员借助以下几种方式执行任意的SQL命令:(1)moderation.php中的do_mergeposts操作的mergepost参数,(2)allreports操作中的rid参数,(3)moderation.php中的do_multimovethreads操作的threads参数或者(4)admin/usergroups.php的gid参数。
漏洞公告
目前厂商还没有提供补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.mybboard.net/download/latest
参考网址
来源: BID
名称: 27323
链接:http://www.securityfocus.com/bid/27323
来源: XF
名称: mybb-usergroups-sql-injection(39729)
链接:http://xforce.iss.net/xforce/xfdb/39729
来源: XF
名称: mybb-moderationphp-sql-injection(39728)
链接:http://xforce.iss.net/xforce/xfdb/39728
来源: MISC
链接:http://www.waraxe.us/advisory-62.HTML
来源: BUGTRAQ
名称: 20080116 [waraxe-2008-SA#062] - Multiple Sql Injections in MyBB 1.2.10
链接:http://www.securityfocus.com/archive/1/archive/1/486433/100/0/threaded
来源: SECUNIA
名称: 28509
链接:http://secunia.com/advisories/28509
来源: community.mybboard.net
链接:http://community.mybboard.net/showthread.php?tid=27227
来源: SREASON
名称: 3558
链接:http://securityreason.com/securityalert/3558
受影响实体
- Mybb Mybb:1.2.10
补丁
暂无
评论