NForum.RU: Новый баг в phpBB 2.0.14 - NForum.RU

Перейти к содержимому

Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Новый баг в phpBB 2.0.14

#1 Пользователь офлайн   Telepat 

  • Основатель форума
  • Иконка
  • Группа: Администраторы
  • Сообщений: 850
  • Регистрация: 01.04.2005

Иконки сообщения  Отправлено Суббота, 28.05.2005 - 12:58

Выявили новый баг в этом форуме и опять они все полетят....

Для поиска уязвимых форумов воспользуйтесь фразой:
Powered by phpBB 2.0.14

Эксплоит здесь:
http://www.community...ail&id=46&cat=1
0


Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Другие ответы в этой теме

#2 Пользователь офлайн   Telepat 

  • Основатель форума
  • Иконка
  • Группа: Администраторы
  • Сообщений: 850
  • Регистрация: 01.04.2005

Отправлено Воскресенье, 13.11.2005 - 22:46

Множественные уязвимости в phpBB 2.0.17 и более ранних версиях

Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, выполнить произвольные SQL команды в базе данных приложения и выполнить произвольный PHP код на целевой системе.

1. Межсайтовый скриптинг возможен из-за недостаточной обработки входных данных в параметре error_msg сценария usercp_register.php, параметре 'forward_page' сценария login.php и параметре 'list_cat' сценария search.php. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

2. SQL-инъекция возможна из-за недостаточной обработки входных данных в параметре 'signature_bbcode_uid' сценария usercp_register.php и может быть эксплуатирована посредством вставки произвольных выражений типа 'field=xxx' в запрос. Уязвимость существует при выключенной опции magic_quotes_gpc.

3. Уязвимость обнаружена при обработке входных данных в параметре 'signature_bbcode_uid' сценария usercp_register.php. Удаленный пользователь может изменить значения, которые передаются в функцию preg_replace() и выполнить произвольный PHP код на целевой системе.

Решение: Установите последнюю версию (2.0.18) с сайта производителя.
0

Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему