invision ps invision board 2.0.0 - 2.1.4

描述：

invision power board是一款流行的php论坛程序。

invision power board中存在两个漏洞，允许恶意用户执行跨站脚本和sql注入攻击。

1) 由于在返回前没有正确过滤一些输入，导致攻击者可以在用户浏览器会话中执行任意html和脚本代码。成功攻击要求用户必须使用microsoft internet explorer浏览器。

2) 在sql查询中使用cookies中序列化数据密钥的输入前没有正确的过滤，允许攻击者通过注入任意sql代码操控sql查询。

补丁下载：

https://www.invisionpower.com/customer/index.php