UseBB 跨站脚本执行及SQL注入漏洞

UseBB 跨站脚本执行及SQL注入漏洞

漏洞ID 1198315 漏洞类型 SQL注入
发布时间 2005-08-03 更新时间 2005-10-20
图片[1]-UseBB 跨站脚本执行及SQL注入漏洞-安全小百科CVE编号 CVE-2005-2439
图片[2]-UseBB 跨站脚本执行及SQL注入漏洞-安全小百科CNNVD-ID CNNVD-200508-020
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200508-020
|漏洞详情
UseBB是一个易于使用的PHP/MySQL公告牌系统,支持多用户和管理功能。UseBB代码中存在两个漏洞。第一个漏洞存在于处理颜色的代码中。由于没有过滤颜色值,因此攻击者可以对生成的标签注入任意样式表信息。在InternetExplorer中这可能允许通过调用expression()函数执行Javascript。另一个漏洞存在于实现magic_quotes_gpc=Off模拟的方式中。如果禁用了这个特性的话,_GET、_POST和_COOKIE就会自动addslashed()。但是_REQUEST不是自动的,因此论坛的搜索功能就没有得到保护,导致各种SQL注入。以上两个漏洞都可能导致泄漏任意用户凭据,包括管理员凭据,允许攻击者完全控制论坛程序。
|参考资料

来源:www.usebb.net
链接:http://www.usebb.net/community/topic.php?id=605
来源:MISC
链接:http://www.hardened-php.net/advisory_122005.60.html
来源:XF
名称:usebb-search-sql-injection(21652)
链接:http://xforce.iss.net/xforce/xfdb/21652
来源:BID
名称:14413
链接:http://www.securityfocus.com/bid/14413
来源:BUGTRAQ
名称:20050728Advisory12/2005:UseBBMultipleVulnerabilities
链接:http://marc.theaimsgroup.com/?l=bugtraq&m;=112264706213040&w;=2

相关推荐: OpenBSD isakmpd Multiple IKE Payload Handling Security Weaknesses

OpenBSD isakmpd Multiple IKE Payload Handling Security Weaknesses 漏洞ID 1099343 漏洞类型 Design Error 发布时间 2003-11-03 更新时间 2003-11-03 C…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享