DeluxeBB misc.php模块SQL注入漏洞
-
AV
AC
AU
C
I
A
发布:
2025-04-13
修订:
2025-04-13
BUGTRAQ ID: 34174 DeluxeBB是一款基于PHP的论坛程序。 DeluxeBB的misc.php模块中没有正确地验证用户所提交的$qorder参数: $getsel = $db->query(\"SELECT * FROM \".$prefix.\"users \".$qfilter.\" \".$qorder.\" <== \".$sort.\" LIMIT \".$pageinfo[0].\",\".$pageinfo[1]); 远程攻击者可以通过提交恶意的查询请求执行SQL注入攻击,导致读取论坛所有注册用户的用户名和口令MD5。 DeluxeBB <= 1.3 厂商补丁: DeluxeBB -------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: <a href=http://www.deluxebb.com/ target=_blank rel=external nofollow>http://www.deluxebb.com/</a>
漏洞利用/PoC
暂无可用Exp或PoC
受影响的平台与产品
当前有0条受影响产品信息
