VULHUB ™

DeluxeBB是一款基于PHP的论坛程序。 DeluxeBB的misc.php模块中没有正确地验证用户所提交的$qorder参数： $getsel = $db->query("SELECT * FROM ".$prefix."users ".$qfilter." ".$qorder." <== ".$sort." LIMIT ".$pageinfo[0].",".$pageinfo[1]); 远程攻击者可以通过提交恶意的查询请求执行SQL注入攻击，导致读取论坛所有注册用户的用户名和口令MD5。

DeluxeBB是一款基于PHP的论坛程序。 DeluxeBB的misc.php模块中没有正确地验证用户所提交的$qorder参数： $getsel = $db->query("SELECT * FROM ".$prefix."users ".$qfilter." ".$qorder." <== ".$sort." LIMIT ".$pageinfo[0].",".$pageinfo[1]); 远程攻击者可以通过提交恶意的查询请求执行SQL注入攻击，导致读取论坛所有注册用户的用户名和口令MD5。