VULHUB ™

BUGTRAQ ID: 36463,36460 MyBB是一款流行的Web论坛程序。 MyBB允许拷贝其他用户的用户名并在其中放置0宽度的空格。由于这两个用户名看起来完全一致，因此可能导致欺骗攻击。 MyBB没有正确地过滤通过avatar扩展所传送的输入便在SQL查询中使用，远程攻击者可以通过上传特殊命名的avatar执行SQL注入攻击。 此外，Custom MyCode实现中的漏洞允许管理员使用eval表达式，但这个漏洞风险较低，因为管理员需要入侵自己的论坛。 MyBB 1.4.8 厂商补丁： MyBB ---- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： http://mybboard.net/download/latest

BUGTRAQ ID: 36463,36460 MyBB是一款流行的Web论坛程序。 MyBB允许拷贝其他用户的用户名并在其中放置0宽度的空格。由于这两个用户名看起来完全一致，因此可能导致欺骗攻击。 MyBB没有正确地过滤通过avatar扩展所传送的输入便在SQL查询中使用，远程攻击者可以通过上传特殊命名的avatar执行SQL注入攻击。 此外，Custom MyCode实现中的漏洞允许管理员使用eval表达式，但这个漏洞风险较低，因为管理员需要入侵自己的论坛。 MyBB 1.4.8 厂商补丁： MyBB ---- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： http://mybboard.net/download/latest