漏洞信息详情
YABB SE多个输入验证漏洞
- CNNVD编号:CNNVD-200411-080
- 危害等级: 超危
- CVE编号: CVE-2004-0344
- 漏洞类型: 输入验证
- 发布时间: 2004-03-01
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: yabb
- 漏洞来源: Alnitak backspace※...
漏洞简介
YABB SE是一款基于PHP/MySQL的论坛程序。 YABB SE由于不正确的输入验证,远程攻击者可以利用这些漏洞进行SQL注入和目录遍历攻击。 SQL注入漏洞存在于ModifyMessage函数中,由于对$msg参数没有进行任何输入检查,因此可造成SQL注入攻击。造成敏感信息泄露和数据库信息删除。 目录遍历攻击是由于ModifyMessage函数没有对用户提交给$attachOld参数包含\"../\"字符的数据缺少过滤,攻击者可能以WEB进程权限查看系统任意文件内容。
漏洞公告
厂商补丁: YaBB ---- 用户必须升级到SMF 1.0 Public Beta 4,另外YaBB SE由于不在支持,供应商将不提供补丁:
http://www.simplemachines.org/download.php
参考网址
来源: BID 名称: 9774 链接:http://www.securityfocus.com/bid/9774 来源: BUGTRAQ 名称: 20040301 YabbSE (3 on 1) 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=107816202813083&w=2
受影响实体
- Yabb Yabb:1.5.5b:Second_edition
- Yabb Yabb:1.5.5:Second_edition
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论