Punres PunBB Affiliation模块'affiliates.php'SQL注入漏洞

漏洞介绍

PunBB是一款基于PHP的论坛程序。

PunBB的Affiliation模块中affiliates.php没有正确地验证用户所提交的in和out参数，远程攻击者可以通过向该模块提交恶意的HTTP POST请求执行SQL注入攻击。

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.punbb.org/

来源: XF

名称: affiliation-affiliates-sql-injection(51437)

链接：http://xforce.iss.net/xforce/xfdb/51437
来源: OSVDB

名称: 55478

链接：http://www.osvdb.org/55478
来源: MILW0RM

名称: 9055

链接：http://www.milw0rm.com/exploits/9055
来源: SECUNIA

名称: 35654

链接：http://secunia.com/advisories/35654
来源: MISC

链接：http://packetstormsecurity.org/0906-exploits/punbbaffiliationsin-blindsql.txt