SQL Injection в моде Tag Board 4 для phpBB 3

Тема в разделе "Безопасность", создана пользователем Minibot2007, 24.07.16.

  1. Minibot2007

    Minibot2007 Новичок

    Сообщения:
    2
    Репутация:
    8
    Рейтинг:
    +0 / -0
    Будьте внимательны при установке модов!

    Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

    Уязвимость существует из-за недостаточной обработки входных данных в параметре "id" в сценарии tag_board.php, когда параметр "mode" установлен в значение "controlpanel" и параметр "action" равен "delete". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

    Решение: Пока нету. В ближайшее время как дойдут руки по пробую доработать. Если кому интересно