[Другое] SQL-injection[IPB 2.3.x]

[dragonstyle]

Программа: IPB 2.3.x возможно и более ранние версии

Опасность: Низкая

Наличие эксплоита: Да

Тип: SQL иньекция

Описание: Уязвимость позволяет удаленному пользователю имеющему доступ в администраторскую панель совершить SQL иньекцию.
Уязвимость существует из-за недостаточной обработки входных данных в параметре f при очистки форумов через администраторскую панель.

Решение:
Открыть ./sources/action_admin/forums.php
Найти(~ 512 стр

$form_array = array();

Ниже добавить:

$this->ipsclass->input['f'] = intval($this->ipsclass->input['f']);

Найти(~578 стр

$modfunc->ipsclass =& $this->ipsclass;

Ниже добавить:

$this->ipsclass->input['f'] = intval($this->ipsclass->input['f']);

Отписуемся как прошло))

 

[we_are_hakers]

Описание: Уязвимость позволяет удаленному пользователю имеющему доступ в администраторскую панель совершить SQL иньекцию.

не понимаю, толку от этой скули, если пользователь, который имеет доступ к АЦ и так может производить в ней скул-запросы через соответствующую панель

 

[chibit]

Нет, такая возможность только у Главных администраторов
У обычных нет такой возможности
Да собственно и супер-модерам можно разрешить доступ в одмин панель
Так что есть толк