phpBB Fetch All < 2.0.12 多個指令碼 SQL 注入弱點
high Nessus Plugin ID 14226
語系:
概要
遠端 Web 應用程式容易受到 SQL 注入攻擊。說明
遠端主機正在執行的 phpBB FetchAll 版本低於 2.0.12。據報告,此版本的 phpBB Fetch All 容易受到一個 SQL 注入攻擊弱點影響。造成此問題的原因在於,應用程式未正確清理使用者提供的輸入,便將其用於 SQL 查詢。
能否成功利用此弱點取決於包含 phpBB Fetch All 元件的 Web 應用程式的實作方式。在將惡意 SQL 陳述式有效傳遞至基礎函式時存在不確定性。
若攻擊成功,可導致攻擊者入侵應用程式、洩漏或修改資料,或可能允許攻擊者利用基礎資料庫實作中的弱點。
解決方案
升級至 phpBB Fetch All 2.0.12 或更新版本。Plugin 詳細資訊
嚴重性: High
ID: 14226
檔案名稱: phpbb_fetch_all_sql_injection.nasl
版本: 1.25
類型: remote
系列: CGI abuses
已發布: 2004/8/9
已更新: 2021/1/19
支援的感應器: Nessus
風險資訊
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 6.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
弱點資訊
必要的 KB 項目: www/phpBB
可被惡意程式利用: true
可輕鬆利用: No exploit is required
弱點發布日期: 2004/8/7