Quicksilver Forums是一個(gè)基于PHP/MySQL的開源論壇程序。系統(tǒng)是基于MercuryBoard進(jìn)行修改設(shè)計(jì)的,比MercuryBoard好的是將管理控制臺(tái)做了跟全面的分離，并設(shè)計(jì)了更多優(yōu)秀的風(fēng)格模板。

系統(tǒng)特征[ ]

安裝說(shuō)明[ ]

使用說(shuō)明[ ]

相關(guān)資訊[ ]

Quicksilver ForumsSQL注入漏洞

漏洞信息

Quicksilver Forums是一款基于WEB的論壇程序。

Quicksilver Forums不充分過(guò)濾用戶提交的URI，遠(yuǎn)程攻擊者可以利用漏洞進(jìn)行SQL注入攻擊，可獲得敏感信息或操作數(shù)據(jù)庫(kù)。

問(wèn)題是腳本對(duì)用戶提交的URI參數(shù)缺少充分過(guò)濾，提交惡意SQL查詢作為參數(shù)數(shù)據(jù)，可更改原來(lái)的SQL邏輯，獲得敏感信息，或操作數(shù)據(jù)庫(kù)。

BUGTRAQ ID: 15710

CNCAN ID:CNCAN-2005120605

漏洞消息時(shí)間:2005-12-05

漏洞起因

輸入驗(yàn)證錯(cuò)誤

影響系統(tǒng)

Quicksilver Forums Quicksilver Forums 1.1.4

不受影響系統(tǒng)

Quicksilver Forums Quicksilver Forums 1.1.5

危害

遠(yuǎn)程攻擊者可以利用漏洞進(jìn)行SQL注入攻擊，可獲得敏感信息或操作數(shù)據(jù)庫(kù)。

攻擊所需條件

攻擊者必須訪問(wèn)Quicksilver Forums。

廠商解決方案

升級(jí)程序：

Quicksilver Forums Quicksilver Forums 1.1.4

Quicksilver Forums Upgrade quicksilverforums-1.1.5.tar.gz

http://prdownloads.sourceforge.net/qsforums/quicksilverforums-1.1.5.ta r.gz?download

漏洞提供者

Vendor

漏洞消息鏈接

http://sourceforge.net/project/shownotes.php?release_id=375970&group_id=154354

漏洞消息標(biāo)題

Release Name: 1.1.5 (Quicksilver Forums)

相關(guān)資源[ ]

• 官方地址：http://www.quicksilverforums.com/
• 軟件類型：開源免費(fèi)（GPL）
• 下載地址：下載地址1下載地址2

相關(guān)條目[ ]

• Discuz
• PHPWind
• phpBB
• FluxBB
• Simple Machines Forum
• MercuryBoard

參考來(lái)源[ ]

• 參考來(lái)源1
• 參考來(lái)源2