phpBB 2.0.22 links.php start sql injection

CVSS Wynik metatemperaturyExploit Aktualna Cena (≈)Wynik odsetkowy CTI
6.6$0-$5k0.00

Podatność, która została odkryta w phpBB 2.0.22 (Forum Software). Problemem dotknięta jest nieznana funkcja w pliku links.php. Poprzez manipulację argumentem start przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności sql injection. Wpływa to na poufność, spójność i dostępność.

Informacja o podatności została opublikowana w dniu 2007-08-31 (Website). Raport na temat podatności został udostępniony pod adresem milw0rm.com. Podatność ta jest znana jako CVE-2007-4653. Luka jest łatwo eksploitowalna. Atak może zostać przeprowadzony zdalnie. Nie potrzeba żadnej formy uwierzytelnienia w celu eksploitacji. Techniczne szczegóły, jak również publiczny exploit są znane.

Exploit został ujawniony wydaniem poprawki. Exploit można ściągnąć pod adresem exploit-db.com. Uważa się go za proof-of-concept. Poprzez wyszukiwanie inurl:links.php, możliwe jest odnajdowanie podatnych celów przy użyciu techniki Google Hacking.

Nie są znane żadne środki zaradcze. Sugerowana jest zamiana podatnego komponentu na produkt alternatywny.

Błąd jest również udokumentowany w bazie podatności Exploit-DB (4346), SecurityFocus (BID 25501†) i OSVDB (38427†).

Produktinfo

Rodzaj

Imię

Wersja

Licencja

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

CVSSv3info

VulDB Wynik metabazy: 7.3
VulDB Wynik metatemperatury: 6.9

VulDB Wynik podstawowy: 7.3
VulDB Wynik tymczasowy: 6.9
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
WektorMożliwość wykorzystaniaUwierzytelnianiePoufnośćIntegralnośćDostępność
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować

VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍

NVD Wynik podstawowy: 🔍

Exploitinfo

Klasa: Sql injection
CWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Dostęp: Publiczny
Status: Proof-of-Concept
Pobierać: 🔍
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayodblokowaćodblokowaćodblokowaćodblokować
Dzisiajodblokowaćodblokowaćodblokowaćodblokować

Exploit-DB: 🔍

Inteligencja Zagrożeńinfo

Wysiłek: 🔍
Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍

Przeciwdziałanieinfo

Zalecane: wiadomo nie ograniczanie
Status: 🔍

0-dniowy czas: 🔍
Wykorzystaj czas opóźnienia: 🔍

Oś czasuinfo

2007-08-31 🔍
2007-08-31 +0 dni 🔍
2007-08-31 +0 dni 🔍
2007-09-04 +4 dni 🔍
2007-09-04 +0 dni 🔍
2007-11-07 +64 dni 🔍
2015-03-16 +2685 dni 🔍
2024-10-03 +3489 dni 🔍

Źródłainfo

Produkt: phpbb.com

Raport: milw0rm.com
Status: Nie określono

CVE: CVE-2007-4653 (🔍)
SecurityFocus: 25501
OSVDB: 38427 - Links MOD for phpBB links.php search Action start Parameter SQL Injection

scip Labs: https://www.scip.ch/en/?labs.20161013
Zobacz także: 🔍

Wpisinfo

Stworzono: 2015-03-16 12:18
Aktualizacje: 2024-10-03 03:51
Zmiany: 2015-03-16 12:18 (50), 2018-09-07 09:08 (8), 2024-10-03 03:51 (19)
Kompletny: 🔍
Cache ID: 44:858:40

Dyskusja

Brak komentarzy. Języki: pl + en.

Zaloguj się, aby skomentować.

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!