MyBB ‘keywords’参数多个SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1120195 漏洞类型 SQL注入
发布时间 2010-12-23 更新时间 2012-05-08
CVE编号 CVE-2010-5096 CNNVD-ID CNNVD-201210-851
漏洞平台 PHP CVSS评分 7.5
|漏洞来源
https://www.exploit-db.com/exploits/35140
https://www.securityfocus.com/bid/45565
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201210-851
|漏洞详情
MyBB(又名MyBulletinBoard)是MyBB团队开发的一套用PHP和MySQL开发的免费且基于Web的论坛软件。该软件具有简单易用、支持多国语言、可扩展等特点。MyBB中的keywords参数中存在多个SQL注入漏洞,这些漏洞源于对用户提供的输入使用SQL查询之前没有充分的验证。攻击者利用这些漏洞控制应用程序,访问或修改数据,或利用底层数据库中潜在的漏洞。MyBB1.6版本中存在漏洞,其他版本也可能受到影响。
|漏洞EXP
source: http://www.securityfocus.com/bid/45565/info

MyBB is prone to multiple SQL-injection vulnerabilities because it fails to sufficiently sanitize user-supplied data before using it in an SQL query.

Exploiting these issues could allow an attacker to compromise the application, access or modify data, or exploit latent vulnerabilities in the underlying database.

MyBB 1.6 is vulnerable; other versions may also be affected. 

POST /mybb/search.php

action=do_search&forums=2&keywords='+or+'a'+'a&postthread=1
|受影响的产品
MyBB MyBB 1.6
|参考资料

来源:BID
名称:45565
链接:http://www.securityfocus.com/bid/45565