Программа: phpBB 2.0.5 и более ранние версии
Уязвимость обнаружена в phpBB. Удаленный пользователь может выполнить нападение SQL инъекции.
Сценарий 'profile.php' не проверяет переменную 'u' при отображении профиля пользователя. Удаленный пользователь может представить специально сформированный HTTP Get запрос, чтобы выполнить произвольные SQL команды на основной базе данных.
Пример/Эксплоит:
http://[target]/profile.php? mode=viewprofile&u='[sqlcode]
