Elite Bulletin Board SQL befecskendezéses sérülékenységek


2012. december 21. 09:11

CH azonosító

CH-8135

Angol cím

Elite Bulletin Board Multiple SQL Injection Vulnerabilities

Felfedezés dátuma

2012.12.19.

Súlyosság

Közepes

Érintett rendszerek

Elite Bulletin Board
N/A

Érintett verziók

Elite Bulletin Board 2.x

Összefoglaló

Az Elite Bulletin Board olyan sérülékenységeit jelentették, amelyet a támadók kihasználva SQL befecskendezéses (SQL injection) támadásokat hajthatnak végre.

Leírás

Különböző script-ekre mutató URL-eken keresztül átadott bemeneti adatok nincsenek megfelelően megtisztítva a “update_whosonline_reg()” és “update_whosonline_guest()” függvényekben (includes/user_function.php). Ez kihasználható SQL lekérdezések manipulálására tetszőleges SQL kódok befecskendezésével.

Az érintett script-ek listája:
http://[host]/checkuser.php
http://[host]/groups.php
http://[host]/index.php
http://[host]/login.php
http://[host]/quicklogin.php
http://[host]/register.php
http://[host]/search.php
http://[host]/viewboard.php
http://[host]/viewtopic.php

A sérülékenységeket a 2.1.21 verzióban jelentették, de korábbi kiadások is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: elite-board.us
Egyéb referencia: www.htbridge.com
CVE-2012-5874 - NVD CVE-2012-5874
SECUNIA 51622

Legfrissebb sérülékenységek
CVE-2026-22769 – Dell RecoverPoint for Virtual Machines (RP4VMs) Use of Hard-coded Credentials sérülékenység
CVE-2021-22175 – GitLab Server-Side Request Forgery (SSRF) sérülékenység
CVE-2008-0015 – Microsoft Windows Video ActiveX Control Remote Code Execution sérülékenység
CVE-2024-7694 – TeamT5 ThreatSonar Anti-Ransomware Unrestricted Upload of File with Dangerous Type sérülékenység
CVE-2020-7796 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery sérülékenység
CVE-2026-1731 – BeyondTrust Remote Support (RS) and Privileged Remote Access (PRA) OS Command Injection sérülékenység
CVE-2026-2441 – Google Chromium CSS Use-After-Free sérülékenysége
CVE-2025-40536 – SolarWinds Web Help Desk Security Control Bypass sérülékenység
CVE-2025-15556 – Notepad++ Download of Code Without Integrity Check sérülékenység
CVE-2024-43468 – Microsoft Configuration Manager SQL Injection sérülékenység
Tovább a sérülékenységekhez »