vBulletin calendar.php远程SQL注入漏洞
来源:岁月联盟
时间:2005-07-09
发布日期: 2004-1-9
受影响系统:
VBulletin VBulletin 2.3.3
VBulletin VBulletin 2.3.2
VBulletin VBulletin 2.3.1
VBulletin VBulletin 2.3.0
不受影响系统:
VBulletin VBulletin 2.3.4
描述:
--------------------------------------------------------------------------------
vBulletin是一款基于WEB的论坛程序。
vBulletin包含的"calendar.php"脚本对用户提交参数缺少充分过滤,远程安全者可以利用这个漏洞进行SQL注入安全,可获得敏感信息和更改数据库。
"calendar.php"脚本对URI中的"eventid"参数缺少验证,安全者提交包含恶意SQL命令的字符串作为"eventid"参数,可更改原有SQL逻辑,获得敏感信息和更改数据库。
<*来源:mslug
链接:http://www.secunia.com/advisories/10557/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
VBulletin
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载升级到vBulletin 2.3.4版本以上:
http://www.vbulletin.com/
