phpBB 的多個漏洞

chuen0707

phpBB 被發現存在多個漏洞，惡意的人利用這些漏洞可以插入 SQL碼和進行跨網域腳本程式攻擊。

1) 在 "viewtopic.php" 內的 "highlight" 參數在解碼時沒有適當地清除內容。目前仍然未知這個漏洞的詳細影響，但軟件商表示這是一個嚴重的問題。根據資料來源，它可能會洩露敏感資料或允許執行任意程式碼。

2) 在回傳給使用者前，處理用戶名稱的程式沒有將傳送來的輸入適當地清除內容。這樣的攻擊可以在受影響網站範圍內的使用者瀏覽器 session 執行任意的 HTML 和腳本程式碼。

3) 在使用於 SQL 查詢前，處理用戶名稱的程式沒有將傳送來的其他輸入適當地清除內容。 利用這個漏洞可以插入任意的 SQL 碼來操縱查詢。




影響

遠端執行程式
洩露敏感資料
操縱資料
受影響的系統

Phpbb 2.x 並且是 2.0.11 之前的版本

解決方案

請於安裝修補程式前瀏覽軟件供應商之網頁，以獲得更詳盡資料。

升級至 2.0.11版本
http://sourceforge.net/project/showfiles.php?group_id=7885

相關連結

http://secunia.com/advisories/13239/
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636