Программа: Invision Power Board 2.х 

Уязвимость в Invision Power Board позволяет удаленному пользователю выполнить произвольные SQL команды на основной базе данных.
Уязвимость была обнаружена в результате автоматической проверки сканером безопасности Xspider 7.0. 

Пример: 

http://site/forum/index.php?act=Post& CODE=02&f=2&t=1&qpid=1[sql_injection]

Result:

mySQL query error: select p.*,t.forum_id FROM ibf_posts p LEFT JOIN 
ibf_topics t ON (t.tid=p.topic_id)
WHERE pid IN (1[sql_injection])

mySQL error: You have an error in your SQL syntax near '[sql_injection])' at 
line 2
mySQL error code: 
Date: Friday 12th of November 2004 06:53:25 PM

Оставить мнение