MyBB < 1.6.10 多個弱點

medium Nessus Plugin ID 68995

概要

遠端 Web 伺服器主控一個受多個弱點影響的 PHP 應用程式。

說明

根據其版本號碼,遠端 Web 伺服器上託管的 MyBB 安裝會受到多個弱點影響:

- 存在一個 SQL 插入弱點,這是因為資料庫最佳化期間不當清理使用者提供的輸入所導致。

- 存在一個 SQL 插入弱點,這是因為建立資料庫備份時不當清理使用者提供的輸入所導致。

- 存在一個跨網站指令碼弱點,這是因為不當驗證透過主題名稱傳遞之使用者提供的輸入所導致。

- 存在一個資訊洩漏弱點,這是因為不當驗證論壇權限 (使用者只可檢視自己的執行緒) 所導致。

- 存在一個跨網站指令碼弱點,這是因為不當驗證透過除錯頁面傳遞之使用者提供的輸入所導致。

- 存在一個不明弱點,這是因為不當驗證 modcp.php 中使用者提供的輸入所導致。

- 存在一個不明弱點,這是因為不當驗證 calendar.php 中使用者提供的輸入所導致。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級至 1.6.10 版或更新版本。

另請參閱

http://www.nessus.org/u?63008589

Plugin 詳細資訊

嚴重性: Medium

ID: 68995

檔案名稱: mybb_1610.nasl

版本: 1.12

類型: remote

系列: CGI abuses

已發布: 2013/7/22

已更新: 2024/6/5

組態: 啟用 Paranoid 模式, 啟用徹底檢查

支援的感應器: Nessus

Enable CGI Scanning: true

弱點資訊

CPE: cpe:/a:mybb:mybb

必要的 KB 項目: www/PHP, Settings/ParanoidReport, installed_sw/MyBB

排除在外的 KB 項目: Settings/disable_cgi_scanning

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2013/4/22

弱點發布日期: 2013/4/22

參考資訊

BID: 59407

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990