漏洞信息详情
phpBB viewtopic.php topic_id远程SQL注入漏洞
- CNNVD编号:CNNVD-200308-018
- 危害等级: 低危
- CVE编号: CVE-2003-0486
- 漏洞类型: 输入验证
- 发布时间: 2003-06-20
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: phpbb_group
- 漏洞来源: Rick rikul@bellsou...
漏洞简介
phpBB是一款基于WEB的流行的论坛程序。 phpBB包含的viewtopic.php脚本不正确处理用户提交的请求,远程攻击者可以利用这个漏洞通过SQL注入攻击窃取用户敏感数据,或破坏数据库。 phpBB在调用viewtopic.php时,直接从GET请求中获得\"topic_id\"并传递给SQL查询命令中,因此,攻击者可以提交特殊的SQL字符串用于获得MD5密码,获得此密码信息可以用于自动登录或者进行暴力破解。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* lead developer of phpBB提供了暂时的解决方案,地址如下:
http://www.phpbb.com/phpBB/viewtopic.php?t=112052 厂商补丁: phpBB Group ----------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.phpbb.com/
参考网址
来源: XF 名称: phpbb-viewtopic-sql-injection(12366) 链接:http://xforce.iss.net/xforce/xfdb/12366 来源: BID 名称: 7979 链接:http://www.securityfocus.com/bid/7979 来源: www.phpbb.com 链接:http://www.phpbb.com/phpBB/viewtopic.php?t=112052 来源: BUGTRAQ 名称: 20030619 phpBB password disclosure by sql injection 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=105607263130644&w=2
受影响实体
- Phpbb_group Phpbb:2.0.5
补丁
暂无
评论