描述:
Invision Power Board是一款流行的PHP论坛程序。Invision Power Board中存在两个漏洞,允许恶意用户执行跨站脚本和SQL注入攻击。1) 由于在返回前没有正确过滤一些输入,导致攻击者可以在用户浏览器会话中执行任意HTML和脚本代码。成功攻击要求用户必须使用Microsoft Internet Explorer浏览器。2) 在SQL查询中使用cookies中序列化数据密钥的输入前没有正确的过滤,允许攻击者通过注入任意SQL代码操控SQL查询。
补丁下载:https://www.invisionpower.com/customer/index.php