漏洞信息详情

YABB SE多个输入验证漏洞

• CNNVD编号：CNNVD-200411-080
• 危害等级： 超危
  
• CVE编号： CVE-2004-0344
• 漏洞类型： 输入验证
• 发布时间： 2004-03-01
• 威胁类型： 远程
• 更新时间： 2005-10-20
• 厂        商： yabb
• 漏洞来源： Alnitak backspace※...

漏洞简介

YABB SE是一款基于PHP/MySQL的论坛程序。 YABB SE由于不正确的输入验证，远程攻击者可以利用这些漏洞进行SQL注入和目录遍历攻击。 SQL注入漏洞存在于ModifyMessage函数中，由于对$msg参数没有进行任何输入检查，因此可造成SQL注入攻击。造成敏感信息泄露和数据库信息删除。 目录遍历攻击是由于ModifyMessage函数没有对用户提交给$attachOld参数包含\"../\"字符的数据缺少过滤，攻击者可能以WEB进程权限查看系统任意文件内容。

漏洞公告

厂商补丁： YaBB ---- 用户必须升级到SMF 1.0 Public Beta 4，另外YaBB SE由于不在支持，供应商将不提供补丁：

http://www.simplemachines.org/download.php

参考网址

来源: BID 名称: 9774 链接:http://www.securityfocus.com/bid/9774 来源: BUGTRAQ 名称: 20040301 YabbSE (3 on 1) 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=107816202813083&w=2

受影响实体

• Yabb Yabb:1.5.5b:Second_edition  
• Yabb Yabb:1.5.5:Second_edition  

补丁

暂无