动网PHP论坛indivgroup_dispbbs.php sql注入漏洞

发布时间:2010-10-03
影响版本:动网论坛 (DVBBS) PHP 2.0++
漏洞描述:动网(DVBBS)论坛系统是一个采用PHP和MYSQL的数据架构的高性能网站论坛解决方案。

在文件indivgroup_dispbbs.php中:

变量$groupboardid没有经过过滤放入sql语句导致注入漏洞的产生。

测试方法:
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

安全建议:
临时解决办法
---------
过滤变量$groupboardid

厂商补丁:

DVBBS
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.dvbbs.net