受影响系统：
UBBCentral UBB.threads 3.4.x
描述：
--------------------------------------------------------------------------------
UBBThreads是一款基于PHP的论坛程序。

UBBThreads dosearch.php脚本对用户提交的输入缺少充分过滤，远程攻击者可以利用这个漏洞进行SQL注入攻击，可能获得敏感信息。

dosearch.php不正确过滤用户提交给'name'参数的数据，远程攻击者提供恶意SQL命令作为参数数据，可更改原有SQL逻辑，获得敏感信息。

<*来源：Florian Rock （florianrock@web.de）

链接：http://marc.theaimsgroup.com/?l=bugtraq&m=109839925207038&w=2
*>

测试方法：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Florian Rock （florianrock@web.de）提供了如下测试方法：

dosearch.php?Name=' OR U_Password='PWINMD5

PWINMD5是目标用户的MD5密码。

建议：
--------------------------------------------------------------------------------
厂商补丁：

UBBCentral
----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：