发布日期：2009-11-18
更新日期：2009-11-20

受影响系统：

Invision PS IPB 3.0.2
Invision PS IPB 3.0.1
Invision PS IPB 3.0.0

描述：

---

CVE ID: CVE-2009-3974

Invision Power Board是一个非常流行的PHP论坛程序。

Invision Power Board论坛的admin/applications/core/modules_public/search/search.php和admin/applications/core/modules_public/global/lostpass.php脚本没有正确地过滤用户所提交的search_term和aid参数，远程攻击者可以通过向论坛提交恶意参数请求执行SQL注入攻击。

<*来源：IPS, Inc.
  
  链接：http://secunia.com/advisories/37416/
*>

建议：

---

厂商补丁：

Invision PS
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://community.invisionpower.com/topic/291103-invision-power-board-3-0-2-security-update/

浏览次数：3323
严重程度：0（网友投票）