MyBB User Profile Skype ID Plugin ‘skype’参数SQL注入漏洞

漏洞起因
SQL注入错误
危险等级

影响系统
MyBB User Profile Skype ID Plugin 1.0

不受影响系统

危害
远程攻击者可以利用漏洞可获得敏感数据库信息或控制应用系统。

攻击所需条件
攻击者必须访问MyBB User Profile Skype ID插件。

漏洞信息
MyBB是一款流行的论坛程序。
MyBB User Profile Skype ID插件不正确过滤’skype’参数数据,允许攻击者利用漏洞进行SQL注入攻击,可获得敏感数据库信息或控制应用系统。

测试方法
http://downloads.securityfocus.com/vulnerabilities/exploits/57096.php.txt

厂商解决方案
目前没有详细解决方案提供:
http://www.mybb.com/

漏洞提供者
Zixem

评论关闭。