Visita Orebla.it su Facebook Segui Orebla.it su Twitter Vedi i video su YouTube di Orebla.it Unisciti alle cerchie di Orebla.it
DOVE TI TROVI: \\ Home Page\news\Vulnerabilità in phpBB 2.0.17
Vulnerabilità in phpBB 2.0.17


L'avviso è comparso ieri sul sito di Secunia.com, la vulnerabilità affligge l'ultima versione di una delle più famose BB scritte in php.

Il bug sarebbe possibile con la combinazione di più vulnerabilità. Per capirci meglio, durante il test (effettuato da Orebla.it NDR) il proof of concept funzionava solo se il forum veniva visto con una versione non aggiornata di IE.

Infatti il buco sarebbe presente nel metodo di upload remoto degli avatar, lo script infatti non distingue un'immagine da una cartella rinominata come tale.

Se viene inserita poi una pagina HTML la "non" immagine verrà eseguita con essa i TAG al suo interno. Se usiamo Firefox non avremo problemi in quanto la funzione document.cookie del javascript non ha effetto.

Mentre se si usa una versione di IE che sia affetto da "Embedded Content Cross Site Scripting (GIF)" allora il tutto funziona, con il pericolo che ci rubino i cookie.

La soluzione è subito sotto gli occhi e molto semplice, per questo Secunia ha classificato la vulnerabilità come "less critical" (poco critico), basta infatti disabilitare gli avatar remoti ed il gioco è fatto. 

Per fare questo basta andare nel pannello di configurazione --> Gestione --> Configurazione e spuntare sul NO l'opzione "Avatar Remoti".

Se avete dei problemi potete contattarmi sul sito di supporto ufficiale di phpBB, cioè www.phpbb.it.

Link utili:

 

Autore articolo: Orebla

Commenti:

Nessun Commento a questa News...

I commenti per queste news sono disabilitati.






Articoli utili:
Jailbreak iOS 10: tweaks compatibili

Recensione iPhone 6

IPhone 7 uscito, novita, prezzi