http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200508-020

UseBB是一个易于使用的PHP/MySQL公告牌系统，支持多用户和管理功能。UseBB代码中存在两个漏洞。第一个漏洞存在于处理颜色的代码中。由于没有过滤颜色值，因此攻击者可以对生成的标签注入任意样式表信息。在InternetExplorer中这可能允许通过调用expression()函数执行Javascript。另一个漏洞存在于实现magic_quotes_gpc=Off模拟的方式中。如果禁用了这个特性的话，_GET、_POST和_COOKIE就会自动addslashed()。但是_REQUEST不是自动的，因此论坛的搜索功能就没有得到保护，导致各种SQL注入。以上两个漏洞都可能导致泄漏任意用户凭据，包括管理员凭据，允许攻击者完全控制论坛程序。

来源:www.usebb.net
链接:http://www.usebb.net/community/topic.php?id=605
来源:MISC
链接:http://www.hardened-php.net/advisory_122005.60.html
来源:XF
名称:usebb-search-sql-injection(21652)
链接:http://xforce.iss.net/xforce/xfdb/21652
来源:BID
名称:14413
链接:http://www.securityfocus.com/bid/14413
来源:BUGTRAQ
名称:20050728Advisory12/2005:UseBBMultipleVulnerabilities
链接:http://marc.theaimsgroup.com/?l=bugtraq&m;=112264706213040&w;=2