phpBB Fetch All < 2.0.12 多个脚本 SQL 注入
high Nessus 插件 ID 14226
语言:
简介
远程 Web 应用程序容易受到 SQL 注入的影响。描述
远程主机正在运行的 phpBB FetchAll 版本低于 2.0.12。据报告,此版本的 phpBB Fetch All 容易受到一个 SQL 注入漏洞的影响。此问题是应用程序未能正确审查用户提供的输入,便将其用于 SQL 查询所致。
成功利用此漏洞取决于包含 phpBB Fetch All 作为组件的 Web 应用程序的实施情况。无法确定能否将恶意 SQL 语句有效传递到底层函数。
成功利用该漏洞可导致破坏应用程序、泄露或修改数据,或者可能允许攻击者利用基础数据库实现中的漏洞。
解决方案
升级至 phpBB Fetch All 2.0.12 或更高版本。插件详情
严重性: High
ID: 14226
文件名: phpbb_fetch_all_sql_injection.nasl
版本: 1.25
类型: remote
系列: CGI abuses
发布时间: 2004/8/9
最近更新时间: 2021/1/19
支持的传感器: Nessus
风险信息
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
必需的 KB 项: www/phpBB
可利用: true
易利用性: No exploit is required
漏洞发布日期: 2004/8/7