漏洞信息详情
YaBB论坛配置文件回车注入远程权限提升漏洞
- CNNVD编号:CNNVD-200706-262
- 危害等级: 中危
- CVE编号: CVE-2007-3208
- 漏洞类型: 输入验证
- 发布时间: 2007-06-14
- 威胁类型: 远程
- 更新时间: 2007-06-19
- 厂 商: yabb
- 漏洞来源: Peter Vreugdenhil
漏洞简介
YaBB是用Perl编写的开源论坛系统。
YaBB在将某些配置文件表单字段写入到配置文件数据(.vars)文件之前没有正确地验证输入,允许攻击者通过注入特殊字符获得论坛管理员权限。
由于可以在注册期间执行攻击,因此未经认证的攻击者也可以在注册时通过register.pl脚本获得管理员权限。
漏洞公告
临时解决方法:
如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 禁用论坛的注册功能。
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
YaBB
----
http://www.yabbforum.com/community/?board=general;action=display;num=1181678785
参考网址
来源: BID
名称: 24455
链接:http://www.securityfocus.com/bid/24455
来源: SECUNIA
名称: 25656
链接:http://secunia.com/advisories/25656
来源: www.yabbforum.com
链接:http://www.yabbforum.com/community/?board=general;action=display;num=1181678785
来源: SECTRACK
名称: 1018236
链接:http://www.securitytracker.com/id?1018236
来源: OSVDB
名称: 37237
链接:http://osvdb.org/37237
来源: OSVDB
名称: 37236
链接:http://osvdb.org/37236
来源: IDEFENSE
名称: 20070612 YaBB Forum member.vars CRLF
链接:http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=538
来源: XF
名称: yabb-vars-privilege-escalation(34848)
链接:http://xforce.iss.net/xforce/xfdb/34848
受影响实体
- Yabb Yabb:2.1
补丁
暂无
评论