VULHUB ™

BUGTRAQ ID: 28930 MiniBB（Minimalistic Bulletin Board）是一个线性的可定制电子布告栏程序。 MiniBB的实现上存在多个SQL注入漏洞，远程攻击者可能利用此漏洞对服务程序执行SQL注入攻击。 如果将action设置为registernew的话，MiniBB的index.php文件中没有正确地验证对lang参数的输入便返回给了用户，这可能允许攻击者在用户浏览器会话中执行任意HTML和脚本代码。 如果将action设置为userinfo的话，MiniBB的index.php文件中没有正确地过滤对xtr参数的输入便将其使用在了SQL查询中，这允许远程攻击者执行SQL注入攻击 MiniBB 2.2 MiniBB ------ 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=http://www.minibb.net/download.php?file=minibb target=_blank>http://www.minibb.net/download.php?file=minibb</a>

BUGTRAQ ID: 28930 MiniBB（Minimalistic Bulletin Board）是一个线性的可定制电子布告栏程序。 MiniBB的实现上存在多个SQL注入漏洞，远程攻击者可能利用此漏洞对服务程序执行SQL注入攻击。 如果将action设置为registernew的话，MiniBB的index.php文件中没有正确地验证对lang参数的输入便返回给了用户，这可能允许攻击者在用户浏览器会话中执行任意HTML和脚本代码。 如果将action设置为userinfo的话，MiniBB的index.php文件中没有正确地过滤对xtr参数的输入便将其使用在了SQL查询中，这允许远程攻击者执行SQL注入攻击 MiniBB 2.2 MiniBB ------ 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=http://www.minibb.net/download.php?file=minibb target=_blank>http://www.minibb.net/download.php?file=minibb</a>