Программа: Invision Power Board все версии до v2.0 Alpha 3, включая 1.х
Уязвимость обнаружена в Invision Power Board. Злонамеренный пользователь может выполнить нападение
SQL инъекции. Уязвимость обнаружена в параметре
sort_key в сценарии index.php. В результате удаленный пользователь может манипулировать используемыми SQL запросами.
Пример:
/index.php? showforum=1&prune_day=100&sort_by=
Z-A&sort_key=[Problem_is_here]
…
Begin Error Message
------------------------------
mySQL query error: SELECT * from ibf_topics WHERE forum_id=2 and
approved=1
and (last_post > 0 OR pinned=1) ORDER BY pinned DESC, [Problem_is_here]
DESC
LIMIT 0,15
