phpBB XSS Admin SID
Продукт: phpbb
Версия: 2.0.19 (и ниже) Уровень: Средний Описание: Найдено несколько уязвимостей в форуме phpbb. Первая из них это отсутствует проверки на длину названия картинки загружаемого с другого сайта аватора, что позволяет произвести xss нападение подгружаемого аватора, ну это не единственая уязвимость такого рода. Вторая уязвимость, это отсутствие обработка добавляемого смайла в админ панели форума. Поэтому, заполучив id сессию админа злоумышленник легко выполнит XSS и не только, может спокойно удалить форума и сообщения. Данная уязвимость не страшна форуму phpbb интегрированному в php-nuke. Устранение: Первое наперво (что уже давно должно было выполнено) в настройках форума: Разрешить удаленных аватар напротив ставим Нет На время, пока не устранят данную уязвимость team группа phpbb, запрещаем вывод в URL id сессии, если еще не запрещено. В файле config.php добавляем строчку перед ?> добавляем PHP код:
|
Часовой пояс GMT +4, время: 15:17. |
Copyright © 2005 by Soniks