Уязвимость обнаружена в XMB Forum (Partagium). Удаленный пользователь может получить хеш паролей. 

Сообщается, что недостаток в процессе регистрации позволяет удаленному пользователь внедрить дополнительные SQL команды, чтобы получить хеш пароли любого пользователя XMB форума, включая администратора. 

Если система конфигурирована с параметром
register_globals в php.ini, то удаленный пользователь может представить специально обработанное значение в $email1 и $email2 переменных, чтобы заставить
members.php выполнить произвольные SQL команды на основной базе данных. Уязвимость может использоваться для получения хешированных паролей. 

Уязвимость обнаружена в XMB Forum 1.8.

Эксплоит



Оставить мнение