VULHUB ™

phpBB2是一款由PHP编写的WEB论坛应用程序，支持多种数据库系统，可使用在多种Unix和Linux操作系统下。 phpBB2包含的search.php对用户提交的参数缺少充分过滤，远程攻击者可以利用这个漏洞进行SQL注入攻击，可以获得系统敏感信息。 问题是search.php脚本对\"search_id\"参数缺少充分过滤，攻击者可以提交包含恶意SQL命令给这个参数，可导致修改原有的SQL逻辑，获得数据库信息或修改数据库。经过测试，可利用此漏洞获得管理员密码HASH信息，并修改COOKIE信息以管理员权限访问系统。

phpBB2是一款由PHP编写的WEB论坛应用程序，支持多种数据库系统，可使用在多种Unix和Linux操作系统下。 phpBB2包含的search.php对用户提交的参数缺少充分过滤，远程攻击者可以利用这个漏洞进行SQL注入攻击，可以获得系统敏感信息。 问题是search.php脚本对\"search_id\"参数缺少充分过滤，攻击者可以提交包含恶意SQL命令给这个参数，可导致修改原有的SQL逻辑，获得数据库信息或修改数据库。经过测试，可利用此漏洞获得管理员密码HASH信息，并修改COOKIE信息以管理员权限访问系统。