SQL Injection в моде Tag Board 4 для phpBB 3

Minibot2007

Регистрация
17.05.16
Сообщения
2
Симпатии
0
#1
Будьте внимательны при установке модов!

Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "id" в сценарии tag_board.php, когда параметр "mode" установлен в значение "controlpanel" и параметр "action" равен "delete". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Решение: Пока нету. В ближайшее время как дойдут руки по пробую доработать. Если кому интересно