发布日期：2013-01-02
更新日期：2013-01-04

受影响系统：

MyBB User Profile Skype ID

描述：

---

BUGTRAQ  ID: 57096

User Profile Skype ID插件可允许用户将其Skype ID放置在其配置文件内。

User Profile Skype ID没有验证profileskype.php内"skype" 参数的合法性，可以导致SQL代码注入漏洞，远程攻击者可以通过SQL语句执行任意数据库操作。

<*来源：Zixem
  *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<?php
$plugins->add_hook("datahandler_user_update", "profileskype_update");    /*Line 15*/

function profileskype_update($skype)                                    /*Line 167*/
{
  global $mybb;

  if (isset($mybb->input['skype']))
   {
      $skype->user_update_data['skype'] = $mybb->input['skype'];
   }
}

?>

建议：

---

厂商补丁：

MyBB
----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://mods.mybb.com/view/user-profile-skype-id

浏览次数：3846
严重程度：0（网友投票）