Forum. MyNuke.ru
Forum. MyNuke.ruСообщения за сегодняПерсональные сообщения

Навигация  
Вернуться   Forum. MyNuke.ru > PHP-NUKE > Безопасность > Уязвимости Защиты
Ник
Пароль
Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Soniks вне форума      Старый PHPBB Viewtopic.PHP Cross-Site Scripting (CSS) Уязвимость #1  
Soniks
Администратор
Регистрация: 16.01.2005
Сообщения: 4,814


Пожаловаться на это сообщениеОтветить с цитированием

Посмотреть профиль Отправить персональное сообщение для Soniks Посетить домашнюю страницу Soniks Найти все сообщения от Soniks Добавить Soniks в список друзей  
28.06.2005, 21:16

Продукт: phpBB

Версия: 2.0.15 и ниже

Затронуты файлы: viewtopic.php

Описание:
Найденная уязвимость при проверке переменной в файле viewtopic.php, позволяет злоумышленнику выполнить СSS (XSS) нападение и заполучить куки, и соответственно привилегии, администратора или пользователя!

Пример:
http://www.site.com/phpBB2/viewtopic.php?p=3&highlight=\[CSS]\

Устранение:

Обновить до версии 2.0.16

или же выполнить следующее:
Откройте: modules/Forums/viewtopic.php
Найдите (1150):
PHP код:
 $message str_replace('\"''"'substr(@preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se'"@preg_replace('#\b(" str_replace('\\''\\\\'$highlight_match) . ")\b#i', '<span style=\"color:#" $theme['fontcolor3'] . "\"><b>\\\\1</b></span>', '\\0')"'>' $message '<'), 1, -1)); 

Замените на:
PHP код:
 $message str_replace('\"''"'substr(@preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se'"@preg_replace('#\b(" str_replace('\\''\\\\'addslashes($highlight_match)) . ")\b#i', '<span style=\"color:#" $theme['fontcolor3'] . "\"><b>\\\\1</b></span>', '\\0')"'>' $message '<'), 1, -1)); 

 
"Если бы вам удалось надавать под зад человеку, виноватому в большинстве ваших неприятностей - вы бы неделю не смогли сидеть".


Ответ


Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB-коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Небольшая уязвимость user level phpBB 2.0.13 Soniks Уязвимости Защиты 1 13.06.2008 22:16
Обновляем форум phpBB 2.0.11 до 2.0.12 Soniks Безопасность 38 23.06.2005 23:18
Уязвимость в Topic Calendar 1.0.1 для phpBB Soniks Уязвимости Защиты 0 24.03.2005 23:50


Часовой пояс GMT +4, время: 07:53.


На Верх
Рейтинг@Mail.ru