Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Компьютер для продвинутых пользоватлей Выпуск по безопасности


Информационный Канал Subscribe.Ru

Компьютер для продвинутых пользователей
Содержание:
MyBB
ПО: MyBB
Версия: 1.0

О ПО:
MyBB - мощный, эффективный и свободно распространяемый пакет форума, разработанный PHP и MySQL.
Описание:
Некоторые из следующих уязвимостей могут успешно использоваться любым пользователем MyBB, в том числе и со статусом "Гость". Для работы с другими требуется учетная запись пользователя.
Каждая отдельная проблема введения SQL, которая описана в выпуске позволяет получить полный доступ к MyBB.
SQL-инъекция:
MyBB склонен к уязвимости SQL. Эта проблема возникает из-за недостатка проверки ввода SQL запроса.
Успешное использование может привести к завладению приложения, раскрытия и изменения данных, или может дать возможность использовать уязвимость в основной базе данных.
Эту уязвимость может использовать любой пользователь.
Уязвимый URL:[путь_до_mybb]/calendar.php?action=addevent
Уязвимый POST параметр: month
POST [путь_до_mybb]/calendar.php HTTP/1.1
Parameter | Value
--------------------------------
month | 11[SQL]
day | 11
year | 2005
subject | test
description | test
action | do_addevent
SQL-инъекция 2:
Уязвимый URL: [путь_до_mybb]/calendar.php?action=addevent
Уязвимый POST параметр: day
POST [path_to_mybb]/calendar.php HTTP/1.1
Parameter | Value
--------------------------------
month | 11
day | 11[SQL]
year | 2005
subject | test
description | test
action | do_addevent
SQL-инъекция 3:
Уязвимый URL: [путь_до_mybb]/calendar.php?action=addevent
Уязвимый POST параметр: year
POST [path_to_mybb]/calendar.php HTTP/1.1
Parameter | Value
--------------------------------
month | 11
day | 11
year | 2005[SQL]
subject | test
description | test
action | do_addevent
SQL-инъекция 4:
Эта и нижеследующие уязвимость требуют регистрации в системе!
Уязвимый URL: [path_to_mybb]/usercp.php?action=options
Уязвимый POST параметр: threadmode
POST [path_to_mybb]/usercp.php HTTP/1.1
Parameter | Value
--------------------------------
allownotices | yes
emailnotify | yes
receivepms | yes
pmpopup | yes
pmnotify | yes
dateformat |
timeformat |
timezoneoffset | 0
tpp |
daysprune |
ppp |
threadmode | [SQL]
showcodebuttons | 1
style | 0
language |
action | do_options
regsubmit | Update Options
SQL-инъекция 5:
Уязвимый URL: [path_to_mybb]/usercp.php?action=options
Уязвимый POST параметр: threadmode
POST [path_to_mybb]/usercp.php HTTP/1.1
Parameter | Value
--------------------------------
allownotices | yes
emailnotify | yes
receivepms | yes
pmpopup | yes
pmnotify | yes
dateformat |
timeformat |
timezoneoffset | 0
tpp |
daysprune |
ppp |
threadmode |
showcodebuttons | 1[SQL]
style | 0
language |
action | do_options
regsubmit | Update Options
MyBB
Рассылка создана и ведется при поддержке Информационной сети Пермского края.

Subscribe.Ru
Поддержка подписчиков
Другие рассылки этой тематики
Другие рассылки этого автора
Подписан адрес:
Код этой рассылки: comp.paper.supuser
Архив рассылки
Отписаться Вебом Почтой
Вспомнить пароль

В избранное