phpBB 的多個漏洞
phpBB 被發現存在多個漏洞,惡意的人利用這些漏洞可以插入 SQL碼和進行跨網域腳本程式攻擊。<br><br>1) 在 "viewtopic.php" 內的 "highlight" 參數在解碼時沒有適當地清除內容。目前仍然未知這個漏洞的詳細影響,但軟件商表示這是一個嚴重的問題。根據資料來源,它可能會洩露敏感資料或允許執行任意程式碼。<br><br>2) 在回傳給使用者前,處理用戶名稱的程式沒有將傳送來的輸入適當地清除內容。這樣的攻擊可以在受影響網站範圍內的使用者瀏覽器 session 執行任意的 HTML 和腳本程式碼。<br><br>3) 在使用於 SQL 查詢前,處理用戶名稱的程式沒有將傳送來的其他輸入適當地清除內容。 利用這個漏洞可以插入任意的 SQL 碼來操縱查詢。<br><br><br><br><br>影響 <br><br>遠端執行程式 <br>洩露敏感資料 <br>操縱資料 <br>受影響的系統<br><br>Phpbb 2.x 並且是 2.0.11 之前的版本<br><br>解決方案<br><br>請於安裝修補程式前瀏覽軟件供應商之網頁,以獲得更詳盡資料。<br><br>升級至 2.0.11版本<br><a href='http://sourceforge.net/project/showfiles.php?group_id=7885' target='_blank'>http://sourceforge.net/project/showfiles.php?group_id=7885</a><br><br>相關連結<br><br><a href='http://secunia.com/advisories/13239/' target='_blank'>http://secunia.com/advisories/13239/</a> <br><a href='http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636' target='_blank'>http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636</a><br><br>
頁:
[1]