VULHUB ™

phpBB2是一款免费开放源代码的WEB论坛/社区程序，由PHP语言实现，可以运行在Unix/Linux、MacOS、Microsoft Windows系统下。 phpBB2中的privmsg.php脚本对用户提交的输入缺少充分过滤，远程攻击者可以利用这个漏洞更改数据库逻辑，删除所有私人消息。 phpBB2用户可以发送私人消息给任意用户，不过privmsg.php脚本中删除私人消息的函数存在SQL注入漏洞。如果我们提交要删除私人消息号码为\"1) OR 1=1 ＃\"的请求，系统上所有用户的私人消息将被删除。 私人消息存储在两个表中，SQL注入只能工作在其中之一个表中，因此所有文本字段信息全部删除，但是主题和metadata数据只有当前登录用户才能被删除。

phpBB2是一款免费开放源代码的WEB论坛/社区程序，由PHP语言实现，可以运行在Unix/Linux、MacOS、Microsoft Windows系统下。 phpBB2中的privmsg.php脚本对用户提交的输入缺少充分过滤，远程攻击者可以利用这个漏洞更改数据库逻辑，删除所有私人消息。 phpBB2用户可以发送私人消息给任意用户，不过privmsg.php脚本中删除私人消息的函数存在SQL注入漏洞。如果我们提交要删除私人消息号码为\"1) OR 1=1 ＃\"的请求，系统上所有用户的私人消息将被删除。 私人消息存储在两个表中，SQL注入只能工作在其中之一个表中，因此所有文本字段信息全部删除，但是主题和metadata数据只有当前登录用户才能被删除。