VULHUB ™

phpBB v1.4.2及以前版本存在一个缺陷，远程用户可能修改SQL查询串。 该问题出在“bb_memberlist.php”中，问题代码如下：<pre>switch($sortby) { case '': [...] case 'posts': [...] } $sql = SELECT * FROM users WHERE [...] ORDER BY $sortby ;</pre>如果用户提交的“$sortby”变量不在这些值中的话，就会被直接插入SQL查询串中，这 可能存在一些潜在的安全隐患。 v1.4.2及以前版本 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商 的主页以获取最新版本： <a href=http://www.phpbb.com/ target=_blank>http://www.phpbb.com/</a>

phpBB v1.4.2及以前版本存在一个缺陷，远程用户可能修改SQL查询串。 该问题出在“bb_memberlist.php”中，问题代码如下：<pre>switch($sortby) { case '': [...] case 'posts': [...] } $sql = SELECT * FROM users WHERE [...] ORDER BY $sortby ;</pre>如果用户提交的“$sortby”变量不在这些值中的话，就会被直接插入SQL查询串中，这 可能存在一些潜在的安全隐患。 v1.4.2及以前版本 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商 的主页以获取最新版本： <a href=http://www.phpbb.com/ target=_blank>http://www.phpbb.com/</a>