MyBB adodb_mktime()日期参数远程拒绝服务漏洞

漏洞起因
输入验证错误
危险等级

 
影响系统
MyBB 1.4.10
 
不受影响系统
 
危害
远程攻击者可以利用漏洞对应用程序进行拒绝服务攻击。
 
攻击所需条件
攻击者必须访问MyBB。
 
漏洞信息
MyBB是一款流行的基于PHP的论坛程序。
MyBB inc/functions_time.php文件中包含的adodb_mktime()函数在处理部分日期值时存在漏洞,攻击者提交包含超大的year参数值的报文就会触发大量循环,导致CPU负载过高造成拒绝服务攻击。
 
测试方法
 
厂商解决方案
用户可参考如下安全公告获得补丁信息:
http://dev.mybboard.net/projects/mybb/repository/revisions/4613/diff/branches/1.4-stable/inc/functions_time.php
 
漏洞提供者
Ryan Gordon

发表评论?

0 条评论。

发表评论