製品・ソフトウェアに関する情報

JVN脆弱性詳細

MyBB 用 Advanced Forum Signatures プラグインの signature.php における SQL インジェクションの脆弱性

Title	MyBB 用 Advanced Forum Signatures プラグインの signature.php における SQL インジェクションの脆弱性
Summary	MyBB 用 Advanced Forum Signatures (別名 afsignatures) プラグインの signature.php には、SQL インジェクションの脆弱性が存在します。
Possible impacts	第三者により、下記のパラメータを介して、任意の SQL コマンドを実行される可能性があります。　(1) afs_type パラメータ　(2) afs_background パラメータ　(3) afs_showonline パラメータ　(4) afs_bar_left パラメータ　(5) afs_bar_center パラメータ　(6) afs_full_line1 パラメータ　(7) afs_full_line2 パラメータ　(8) afs_full_line3 パラメータ　(9) afs_full_line4 パラメータ　(10) afs_full_line5 パラメータ　(11) afs_full_line6 パラメータ
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Oct. 10, 2011, midnight
Registration Date	April 9, 2014, 11:59 a.m.
Last Update	April 9, 2014, 11:59 a.m.

Affected System

Advanced Forum Signatures Project

Advanced Forum Signatures 2.0.4

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2011-5277	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-5277
National Vulnerability Database (NVD)
2	CVE-2011-5277	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-5277

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-89	https://jvndb.jvn.jp/ja/cwe/CWE-89.html

ベンダー情報

No	Name	URL
MyBB Group
1	Advanced Forum Signatures [Latest Version: 2.0.4]	http://community.mybb.com/thread-60777.html

その他

No	Name	URL
関連文書
1	76295 : Advanced Forum Signatures Plugin for MyBB signature.php Multiple Parameter SQL Injection	http://osvdb.org/76295

Change Log

No	Changed Details	Date of change
0	[2014年04月09日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2011-5277

Summary	Multiple SQL injection vulnerabilities in signature.php in the Advanced Forum Signatures (aka afsignatures) plugin 2.0.4 for MyBB allow remote attackers to execute arbitrary SQL commands via the (1) afs_type, (2) afs_background, (3) afs_showonline, (4) afs_bar_left, (5) afs_bar_center, (6) afs_full_line1, (7) afs_full_line2, (8) afs_full_line3, (9) afs_full_line4, (10) afs_full_line5, or (11) afs_full_line6 parameter. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information.
Publication Date	April 8, 2014, 11:22 p.m.
Registration Date	Jan. 28, 2021, 4:40 p.m.
Last Update	Nov. 21, 2024, 10:34 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:advanced_forum_signatures_project:advanced_forum_signatures:2.0.4:::::mybb::

Related information, measures and tools

No	URL	タグ
1	http://osvdb.org/76295
2	http://secunia.com/advisories/46352	Vendor Advisory
3	http://www.exploit-db.com/exploits/17961	Exploit
4	http://www.securityfocus.com/bid/50051/info	Exploit
5	https://exchange.xforce.ibmcloud.com/vulnerabilities/70473
6	http://osvdb.org/76295
7	https://exchange.xforce.ibmcloud.com/vulnerabilities/70473
8	http://www.securityfocus.com/bid/50051/info	Exploit
9	http://www.exploit-db.com/exploits/17961	Exploit
10	http://secunia.com/advisories/46352	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-89	SQLインジェクション	https://cwe.mitre.org/data/definitions/89.html