dieschi 
Super Moderator
Dabei seit: 08.07.2005
Beiträge: 337
Ort: Odenwald
 |
|
 Sicherheitsbug - Woltlab modcp.php SQL injection -> Hinweis für alle wbb2.x.x Forenbetreiber |
     |
Sicherheitsbug:
| Zitat: |
Woltlab Burning Board <= 2.2.2/2.3.3
SQL injection in modcp.php:
--------------------------------
It's possible to execute malicious SQL code through modcp.php.
But we need access to modcp.php. So, we must be a moderator or something like that.
And here is the bug:
/modcp.php?action=post_del&x='SQL_CODE_HERE
/modcp.php?action=post_del&x=6&y='SQL_CODE_HERE
Nachzulesen hier:
http://www.securityfocus.com/archive/1/408660
http://www.securityfocus.com/bid/14617 |
Wie im Text erklärt wird ist der Bug nur gefährlich wenn ein User Zugriff zum modcp.php hat.
Da man sich aber auch mal mit einem Mod/S-Mod zerstreiten kann ist das fixen des Bugs ein muss!
Aus rechtlichen Gründen (es gibt auch Forenbetreiber ohne legale Lizenz) kann ich den BUGFIX nicht hier posten.
Registriere dich für den BUGFIX im Woltlab-Support-Forum und schalte deinen Account für die WBB-Bereiche frei.
Den BUGFIX findest du anschließend HIER.
__________________
Gruß, dieschi
|
|
