Ikonboard ikonboard.cgi远程SQL注入漏洞
添加时间:
2005-08-18
系统编号:
WAVDB-00610
影响版本:
ikonboard 3.1.0-3.1.3
程序介绍:
解决方案:
厂商补丁:
Ikonboard.com
-------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.ikonboard.com
信息来源:
<*来源:Alexander Anisimov (anisimov@ptsecurity.com)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110321654705580&w=2
*>
2005-08-18
系统编号:
WAVDB-00610
影响版本:
ikonboard 3.1.0-3.1.3
程序介绍:
Ikonboard是一款基于WEB的BBS程序。
漏洞分析:
Ikonboard对用户提交的参数缺少充分过滤,远程攻击者可以利用这个漏洞进行SQL注入攻击,可能获得敏感信息。
ikonboard.cgi 对 st 和 keywords 参数缺少充分过滤,提交包含恶意SQL命令的数据作为参数,可更改原来的SQL逻辑,可能获得敏感信息或修改数据库。
漏洞利用:
http://host/support/ikonboard.cgi?act=ST&f=27&t=13066&hl=nickname&st=1'
http://host/support/ikonboard.cgi?act=Search&CODE=01&keywords='&type=name&forums=all&search_in=all&prune=0
解决方案:
厂商补丁:
Ikonboard.com
-------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.ikonboard.com
信息来源:
<*来源:Alexander Anisimov (anisimov@ptsecurity.com)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110321654705580&w=2
*>