phpBB 论坛应用程序 viewtopic.php　SQL注入漏洞下载

受影响系统：

phpBB Group phpBB 2.0.8

phpBB Group phpBB 2.0.7

phpBB Group phpBB 2.0.6 d

phpBB Group phpBB 2.0.6 c

phpBB Group phpBB 2.0.6

phpBB Group phpBB 2.0.5

phpBB Group phpBB 2.0.4

phpBB Group phpBB 2.0.3

phpBB Group phpBB 2.0.2

phpBB Group phpBB 2.0.1

phpBB Group phpBB 2.0 RC4

phpBB Group phpBB 2.0 RC3

phpBB Group phpBB 2.0 RC2

phpBB Group phpBB 2.0 RC1

phpBB Group phpBB 2.0 Beta 1

phpBB Group phpBB 2.0

phpBB Group phpBB 1.4.4

phpBB Group phpBB 1.4.2

phpBB Group phpBB 1.4.1

phpBB Group phpBB 1.4.0

phpBB Group phpBB 1.2.1

phpBB Group phpBB 1.2.0

phpBB Group phpBB 1.0.0

详细描述：

phpBB是一款由PHP编写的WEB论坛应用程序，支持多种数据库系统，可使用在多种Unix和Linux操作系统下。

phpBB viewtopic.PHP没有正确过滤用户提交的输入，远程攻击者可以利用这个漏洞进行SQL注入攻击，可能获得敏感数据。

viewtopic.php脚本对用户提交给highlight的URI参数缺少充分过滤，攻击者可以提交恶意SQL命令作为此参数数据，导致更改原来的SQL逻辑，可造成数据库更改或信息泄露。

目前厂商还没有提供补丁或者升级程序。