Vulnérabilité annoncée pour Invision Power Board 3

1

Toutes les versions (3.x.x) sont vulnérables. La vulnérabilité se trouve dans le script search.php et plus particulièrement dans la variable search_app.

Une personne mal intentionnée peut exploiter cette vulnérabilité pour trouver le chemin racine du site ou pour lancer des attaques de type Blind SQL Injection.

Un Google Dork a été diffusé : inurl:index.php?app=core ainsi qu’un exemple d’URL permettant l’exploitation via la variable vulnérable : http://server/index.php?app=core&module=search§ion=search&do=quick_search&search_app[]=




Cette faille a été rendue public aujourd’hui et aucun correctif n’est encore disponible. Si vous possédez un forum utilisant une version vulnérable de Invision Power Board, soyez très vigilant ! Vous pouvez notamment installer l’un des nombreux système en PHP permettant de détecter et de bloquer les injections SQL tel que PHPIDS.

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.