phpBB Fetch All < 2.0.12の複数のスクリプトのSQLインジェクション
high Nessus プラグイン ID 14226
Language:
概要
リモートのWebアプリケーションは、SQLインジェクションに対して脆弱です。説明
リモートホストは、2.0.12より古いバージョンのphpBB FetchAllを実行しています。このバージョンのphpBB Fetch Allは、SQLインジェクションの脆弱性の影響を受けやすいことが報告されています。この問題は、アプリケーションがユーザー指定の入力をSQLクエリで使用する前に適切にサニタイズできないために発生します。
この脆弱性の悪用は、phpBB Fetch Allをコンポーネントとして含むWebアプリケーションが実装されている場合に成功します。悪意のあるSQL文を下層の関数に効果的に渡せる場合もあれば渡せない場合もあります。
悪用に成功すると、アプリケーションの侵害やデータの漏洩または変更が発生したり、攻撃者が基盤となるデータベース実装の脆弱性を悪用したりする可能性があります。
ソリューション
phpBB Fetch All 2.0.12以降にアップグレードしてください。プラグインの詳細
深刻度: High
ID: 14226
ファイル名: phpbb_fetch_all_sql_injection.nasl
バージョン: 1.25
タイプ: remote
ファミリー: CGI abuses
公開日: 2004/8/9
更新日: 2021/1/19
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
脆弱性情報
必要な KB アイテム: www/phpBB
エクスプロイトが利用可能: true
エクスプロイトの容易さ: No exploit is required
脆弱性公開日: 2004/8/7