توسط: بهروز کمالیان Behrooz_Ice@ashiyane.com

بتازگی آسیب جدیدی در forum برنامه (Invision Power Board (IPB کشف شده که به User ها به صورت غیر مجاز اجازه Inject کردن دستورات Sql را می دهد. این آسیب در فایل sources/calendar.php این فروم معروف وجود دارد که در نهایت به هکرها اجازه دسترسی غیر مجاز را به پنل مدیریت می دهد.
برنامه Invision Power Board که به IPB معروف است سیستم forum حرفه ای است که با استفاده از زبان برنامه نویسی PHP نوشته شده و از دیتابیس SQL برای مدیریت فایل ها - برنامه ها و Account ها در فروم خود استفاده می کند. یکی از امکانات این برنامه محیط Control Panel بسیار قوی است که برای Administratorتهیه شده است که به مدیران سایت‌ها امکان و اجازه نصب و مدیریت board خود را به آسانی می دهد. در نهایت مهمترین ویژگی این forum نسبت به فروم های دیگری مثل vBulletin رایگان بودن آن است که باعث محبوبیت این فروم همانند phpNuke و phpBB در بین مدیران سایت ها شده است و تمامی این ویژگی ها باعث شده كه تعداد زیادی از مدیران سایت ها از فروم IPB استفاده كنند.

شما می توانید کد اکسپلویت این آسیب SQL Injection را از http://www.ashiyane.net/forums/showthread.php?s=&threadid=2583 دریافت کنید که البته باید برای دیدن این تاپیک در سایت آشیانه عضو باشید. برای اصلاح کردن این آسیب در برنامه IPB خود به سایت http://www.PHPSecure.info مراجعه کنید و یا از آدرس http://forums.invisionpower.com/index.php?act=ST&f=1&t=108786 برنامه Patch ارائه شده از سوی سایت IPB را دریافت کنید. همچنین می توانید به صورت دستی برای از بین بردن این آسیب در فایل sources/calendar.php خط کد زیر را پیدا کنید:

------------------------------------------------------------------------
$this->chosen_month = ( ! intval($ibforums->input['m']) ) ?
$this->now_date['mon'] : $ibforums->input['m']; $this->chosen_year = ( ! intval($ibforums->input['y']) ) ?
$this->now_date['year'] : $ibforums->input['y'];
------------------------------------------------------------------------