检测

PunBB < 1.2.2 多个输入验证漏洞

high Nessus 插件 ID 17224

语言:

简介

The remote web server contains a PHP application that suffers from multiple vulnerabilities.

描述

远程主机正在运行的 PunBB 版本未能正确审查多个脚本的用户输入,因此,攻击者能够发动各种 SQL 注入攻击。

此外,profile.php 脚本会使所有人均可在指定现有用户的 ID 时调用 change_pass 操作,将其密码设置为 NULL,从而有效地将其从系统中排除。

解决方案

Upgrade to PunBB 1.2.2 or later.

另见

https://marc.info/?l=bugtraq&m=110927754230666&w=2

http://forums.punbb.org/viewtopic.php?id=6460

插件详情

严重性: High

ID: 17224

文件名: punBB_input_validation_vulns.nasl

版本: 1.25

类型: remote

系列: CGI abuses

发布时间: 2005/2/26

最近更新时间: 2022/6/1

配置: 启用全面检查

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.3

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

必需的 KB 项: www/punBB

易利用性: No exploit is required

漏洞发布日期: 2005/2/24

参考资料信息

CVE: CVE-2005-0569, CVE-2005-0570, CVE-2005-0571

BID: 12652