添加时间:
2005-08-17

系统编号:
WAVDB-00476
BUGTRAQ: 10511

影响版本:
Invision Power Board 1.3.1 Final

程序介绍:

Invision Power Board是一款流行的论坛程序。

漏洞分析:

 Invision Power Board存在IP地址伪造问题，远程攻击者可以利用这个漏洞使恶意活动不被记录。

如果攻击者使用代理访问远程论坛，应用程序记录的是攻击者LAN中内部IP地址，而不是实际的代理服务器的IP地址，因此可造成攻击者的恶意攻击不被发现。

漏洞利用:

http://TARGET/ssi.php?a=out&type=xml&f=0)[SQL-INJECTION]

 

 

 

解决方案:
厂商补丁：
Invision PS
-----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.invisionboard.com/


信息来源:
<*来源：JvdR （thewarlock@home.nl）
链接：http://marc.theaimsgroup.com/?l=bugtraq&m=108684110410297&w=2
*>