漏洞信息详情

Elite Bulletin Board 多个SQL输入漏洞

• CNNVD编号：CNNVD-201212-295
• 危害等级： 高危
  
• CVE编号： CVE-2012-5874
• 漏洞类型： SQL注入
• 发布时间： 2012-12-24
• 威胁类型： 远程
• 更新时间： 2012-12-24
• 厂        商： elite-board
• 漏洞来源：

漏洞简介

Elite Bulletin Board是一款基于PHP的论坛程序。

Elite Bulletin Board中存在多个SQL注入漏洞，这些漏洞源于在includes/user_function.php脚本中的update_whosonline_reg()’和‘update_whosonline_guest()’函数中，对多个脚本附加到URL后的输入使用SQL查询之前没有正确的验证。通过注入任意SQL代码，攻击者利用该漏洞控制SQL查询。2.1.21版本中存在漏洞，早期版本也可能受到影响。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://elite-board.us/#/

参考网址

来源: www.htbridge.com

链接:https://www.htbridge.com/advisory/HTB23133

来源: OSVDB

名称: 88531

链接:http://www.osvdb.org/88531

来源: EXPLOIT-DB

名称: 23575

链接:http://www.exploit-db.com/exploits/23575

来源: SECUNIA

名称: 51622

链接:http://secunia.com/advisories/51622

来源: packetstormsecurity.com

链接:http://packetstormsecurity.com/files/118962/Elite-Bulletin-Board-2.1.21-SQL-Injection.HTML

来源: elite-board.us

链接:http://elite-board.us/Community/viewtopic.php?bid=1&tid=310

来源: BUGTRAQ

名称: 20121219 Multiple SQL Injection Vulnerabilities in Elite Bulletin Board

链接:http://archives.neohapsis.com/archives/bugtraq/2012-12/0114.HTML

受影响实体

• Elite-Board Elite_bulletin_board:2.1.17  
• Elite-Board Elite_bulletin_board:2.1.16  
• Elite-Board Elite_bulletin_board:2.1.15  
• Elite-Board Elite_bulletin_board:2.1.14  
• Elite-Board Elite_bulletin_board:2.1.13  

补丁

• eliteboard_v2.1.22