Invision Community Blog mod.php 远程SQL注入漏洞

漏洞介绍

Invision Community Blog是可以直接集成于Invision Power Board的博客系统。

Invision Community Blog的mod.php文件的do_mmod()函数中存在SQL注入漏洞，允许攻击者远程执行任意命令。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接： http://forums.invisionpower.com/index.php?showtopic=214248&pid=1383071&st=0&#entry1383071

来源: BID

名称: 17851

链接：http://www.securityfocus.com/bid/17851
来源: BUGTRAQ

名称: 20060505 Invision Community Blog .. Bugs

链接：http://www.securityfocus.com/archive/1/433076
来源: SECUNIA

名称: 19973

链接：http://secunia.com/advisories/19973
来源: forums.invisionpower.com

链接：http://forums.invisionpower.com/index.php?showtopic=214248&view=getnewpost
来源: BUGTRAQ

名称: 20060508 Re: Invision Community Blog .. Bugs

链接：http://archives.neohapsis.com/archives/bugtraq/2006-05/0142.html
来源: XF

名称: invision-mod-sql-injection(26290)

链接：http://xforce.iss.net/xforce/xfdb/26290