Links MOD 1.2.2 Remote SQL Injection Exploit
Verfasst: Sa 29.Sep, 2007 12:07
Hi!
Es scheint hier irgendwie vorbeigegangen zu sein, das auch der o.a. Links MOD 1.2.2 den es hier im DL Bereich gibt ein Sicherheitsproblem hat. Es ist nämlich möglich den Hash des Admin-Paßworts aus der Datenbank auszulesen. Der Fix ist einfach:
Wir sollten wohl alle ab und zu mal einen Blick auf http://www.milw0rm.com/ werfen und nach phpbb suchen.
Bye
Es scheint hier irgendwie vorbeigegangen zu sein, das auch der o.a. Links MOD 1.2.2 den es hier im DL Bereich gibt ein Sicherheitsproblem hat. Es ist nämlich möglich den Hash des Admin-Paßworts aus der Datenbank auszulesen. Der Fix ist einfach:
Code: Alles auswählen
#
#-----[ OPEN ]------------------------------------------
#
links.php
#
#-----[ FIND ]------------------------------------------
#
$start = ( isset($_GET['start']) ) ? $_GET['start'] : 0;
#-----[OR]----------------------------------------------
$start = ( isset($HTTP_GET_VARS['start']) ) ? $HTTP_GET_VARS['start'] : 0;
#
#-----[ REPLACE WITH ]------------------------------
#
$start = ( isset($HTTP_GET_VARS['start']) ) ? intval($HTTP_GET_VARS['start']) : 0;
Bye