Invision Power Board Admin帐号接管命令执行漏洞

发布日期：2013-05-21
更新日期：2013-05-23受影响系统：
Invision Power Board Invision Power Board 3.4.4
描述：
--------------------------------------------------------------------------------
Invision Power Board是一个非常流行的PHP论坛程序。

Invision Power Board没有正确验证注册页面User Email字段的输入内容，导致远程攻击者能够修改任意用户的登录密码。通过修改管理员帐户的密码，攻击者能够远程执行代码。成功利用该漏洞需要攻击者获得目标帐户的用户名和注册邮件地址。

<*来源：John JEAN

链接：http://cxsecurity.com/issue/WLB-2013050108
*>建议：
--------------------------------------------------------------------------------
厂商补丁：

Invision Power Board
--------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.invisionpower.com/
http://community.invisionpower.com/topic/385207-ipboard-32x-33x-and-34x-critical-security-update/Apache Struts “ParameterInterceptor”安全绕过漏洞OpenSMTPD SSL会话处理拒绝服务漏洞相关资讯 Invision Power Board 本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容