漏洞信息详情
Elite Bulletin Board 多个SQL输入漏洞
- CNNVD编号:CNNVD-201212-295
- 危害等级: 高危
- CVE编号: CVE-2012-5874
- 漏洞类型: SQL注入
- 发布时间: 2012-12-24
- 威胁类型: 远程
- 更新时间: 2012-12-24
- 厂 商: elite-board
- 漏洞来源:
漏洞简介
Elite Bulletin Board是一款基于PHP的论坛程序。
Elite Bulletin Board中存在多个SQL注入漏洞,这些漏洞源于在includes/user_function.php脚本中的update_whosonline_reg()’和‘update_whosonline_guest()’函数中,对多个脚本附加到URL后的输入使用SQL查询之前没有正确的验证。通过注入任意SQL代码,攻击者利用该漏洞控制SQL查询。2.1.21版本中存在漏洞,早期版本也可能受到影响。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://elite-board.us/#/
参考网址
来源: www.htbridge.com
链接:https://www.htbridge.com/advisory/HTB23133
来源: OSVDB
名称: 88531
链接:http://www.osvdb.org/88531
来源: EXPLOIT-DB
名称: 23575
链接:http://www.exploit-db.com/exploits/23575
来源: SECUNIA
名称: 51622
链接:http://secunia.com/advisories/51622
来源: packetstormsecurity.com
链接:http://packetstormsecurity.com/files/118962/Elite-Bulletin-Board-2.1.21-SQL-Injection.HTML
来源: elite-board.us
链接:http://elite-board.us/Community/viewtopic.php?bid=1&tid=310
来源: BUGTRAQ
名称: 20121219 Multiple SQL Injection Vulnerabilities in Elite Bulletin Board
链接:http://archives.neohapsis.com/archives/bugtraq/2012-12/0114.HTML
受影响实体
- Elite-Board Elite_bulletin_board:2.1.17
- Elite-Board Elite_bulletin_board:2.1.16
- Elite-Board Elite_bulletin_board:2.1.15
- Elite-Board Elite_bulletin_board:2.1.14
- Elite-Board Elite_bulletin_board:2.1.13
补丁
- eliteboard_v2.1.22
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论