MyBB SQL befecskendezéses sérülékenység

CH azonosító

CH-8112

Angol cím

MyBB "posthash" SQL Injection Vulnerability

Felfedezés dátuma

2012.12.16.

Súlyosság

Alacsony

Érintett rendszerek

MyBB
MyBB Group

Érintett verziók

MyBB (korábban MyBulletinBoard) 1.x

Összefoglaló

A MyBB sérülékenysége vált ismertté, amelyet kihasználva a rosszindulatú felhasználók SQL befecskendezéses (SQL injection) támadásokat indíthatnak.

Leírás

Az editpost.php részére a “posthash” paraméteren keresztül átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt SQL lekérdezésben felhasználásra kerülne. Ez kihasználható SQL lekérdezések manipulálására tetszőleges SQL kód befecskendezésével.

A sérülékenység az 1.6.9 előtti verziókat érinti.

Megoldás

Frissítsen a legújabb verzióra