Toutes les versions (3.x.x) sont vulnérables. La vulnérabilité se trouve dans le script search.php et plus particulièrement dans la variable search_app.
Une personne mal intentionnée peut exploiter cette vulnérabilité pour trouver le chemin racine du site ou pour lancer des attaques de type Blind SQL Injection.
Un Google Dork a été diffusé : inurl:index.php?app=core ainsi qu’un exemple d’URL permettant l’exploitation via la variable vulnérable : http://server/index.php?app=core&module=search§ion=search&do=quick_search&search_app[]=
Cette faille a été rendue public aujourd’hui et aucun correctif n’est encore disponible. Si vous possédez un forum utilisant une version vulnérable de Invision Power Board, soyez très vigilant ! Vous pouvez notamment installer l’un des nombreux système en PHP permettant de détecter et de bloquer les injections SQL tel que PHPIDS.
Perhaps you can write next articles referring to this article. I desire to read more things about it! Great post. I was checking constantly this blog and I’m impressed! Very useful info specifically the last part 🙂
Les commentaires sont fermés.