Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » IkonBoard и другие форумы » Invision Board » SQL инъекция в Invision Power Board

Модерирует : Antuan, Dekker

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

CyberPilgrim



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
На SecurityLab.Ru опубликованы данные о новой "дырке" в Invision Power Board. На данный момент патча еще нет.

Цитата:
Программа: Invision Power Board все версии  
Опасность: Высокая  
Наличие эксплоита: Да  
Описание: Уязвимость обнаружена в Invision Board Forum в "sources/search.php". Удаленный пользователь может выполнить произвольный SQL код на основной базе данных.  
 
Уязвимый код:  
 

Код:
 
    if (isset($ibforums->input['st']) )
    {
    $this->first = $ibforums->input['st'];
    }
 

 

Всего записей: 1114 | Зарегистр. 08-01-2002 | Отправлено: 01:37 29-02-2004
theIggs



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Нет официального патча. Дыра вполне нормально закроется английской версией этой статейки: http://www.securitylab.ru/43163.html

----------
Русская поддержка по IP.Board на IBResource.ru.
Для счастья нужно: национальный трекер и поисковик!

Всего записей: 1114 | Зарегистр. 13-11-2002 | Отправлено: 09:27 29-02-2004
CyberPilgrim



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Дыра вполне нормально закроется английской версией этой статейки

 
Для тех, у кого с английским не так хорошо, как хотелось бы:
 
в файле search.php заменить следующий фрагмент

Код:
if (isset($ibforums->input['st']) )
{
$this->first = $ibforums->input['st'];
}

на

Код:
if (isset($ibforums->input['st']) )
{
$this->first = intval($ibforums->input['st']);
}
 

Всего записей: 1114 | Зарегистр. 08-01-2002 | Отправлено: 12:28 29-02-2004
theIggs



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Официальный патч: http://forums.invisionpower.com/index.php?act=ST&f=&t=116163

----------
Русская поддержка по IP.Board на IBResource.ru.
Для счастья нужно: национальный трекер и поисковик!

Всего записей: 1114 | Зарегистр. 13-11-2002 | Отправлено: 05:48 04-03-2004
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » IkonBoard и другие форумы » Invision Board » SQL инъекция в Invision Power Board


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru