Zone-H
Home arrow Avisos de Segurança arrow MyBB: SQL Injection
21 de março de 2010
 
 
Ataques desta semana
O.S.  Defs.  %
Linux  10760  68.37%
Win 2003  4480  28.47%
FreeBSD  213  1.35%
Win 2000  105  0.67%
Win 2008  90  0.57%
Other  90  0.57%

Total de ataques: 15738 dos quais 2597 único(s) no ip e 13141 invasão(ões) em massa

Menu Principal
Home
Guerra Digital
Geopolítica
Notícias ITsec
Avisos de Segurança
Test Drive
360°
Sites atacados
Eventos do Zone-H
Fórum
Publicações
Zone-H Amigos/Parceiros
Contate-nos
Sobre este Site
Membros do Zone-H BR
Favoritos geral
Zone-H.org
Área de download
MyBB: SQL Injection Imprimir E-mail
Avaliação do Usuário: / 0
PiorMelhor 
Por Marcelo Almeida (Vympel)   
29 de junho de 2006

Um administrador do site MyImei informou que o parametro "showcodebuttons" na página udercp.php não é corretamente encerrado depois de usar um query SQL.
Esta falha pode ser explorada para injetar queries arbitrárias de SQL.
Se explorada com sucesso poderá ser criado um usuário com privilégios de administradores. 

 

Solução:
Atualizem para a versão 1.1.4.
http://www.mybboard.com/downloads.php


Referências:
http://secunia.com/advisories/20795/
http://myimei.com/security/2006-...ssql-injection-admin-access.html
http://community.mybboard.net/showthread.php?tid=9955

 
< Anterior   Próximo >
 
Top! Top!