[3.3] Open Redirect Schwachstelle

Fragen rund um die Installation, Administration und Benutzung von phpBB 3.2 und höher und die Konvertierung zu phpBB 3.3.
Forumsregeln
Bitte im Thementitel den Präfix deiner phpBB-Version [3.3] oder [3.2] angeben
Antworten
Toby610
Mitglied
Beiträge: 1
Registriert: 18.05.2020 08:35

[3.3] Open Redirect Schwachstelle

Beitrag von Toby610 »

Hallo,

wir betreiben ein Forum mit Version 3.3.0 von phpBB.
Vor kurzem haben wir die Information erhalten, dass es eine Schwachstelle in unserem Forum gibt.

Daraufhin hatte ich die Version auf die aktuelle Version (3.3.0) hochgezogen. Aber diese Schwachstelle besteht weiterhin.
Es handelt sich um folgendes:

wenn man folgendes mit der URL seines Forums ausführt:
curl -v https://myforum.server.de/mo.google.com

result is a redirect to https://myforum.server.demo.google.com

This could be used to redirect victims to a malicious URL without their knowledge. For example, the link http://myforum.server.de/mo.example.com could be sent to a victim; this victim can see that the domain name is trusted (myforum.server.de) however when opening the link in their browser they will be redirected to a domain under the attacker's control (myforum.server.demo.example.com in this case). The attacker could perform any other attack on this URL as it's under their control, e.g. creating a phishing page. When accessing myforum.server.de via HTTP, the server returns a 302 redirect to the HTTP version. However the Location header which the client will use to request the replacement URL is incorrectly generated.

Ist das bereits bekannt? Und wenn ja wann wird das gefixt?

Viele Grüße
Toby610

Benutzeravatar
Dr.Death
Moderator
Moderator
Beiträge: 16354
Registriert: 23.04.2003 08:22
Wohnort: Xanten
Kontaktdaten:

Re: [3.3] Open Redirect Schwachstelle

Beitrag von Dr.Death »

Was hat das mit phpBB zu tun ?

Das ist ein WebServer Problem.....

Antworten

Zurück zu „Support-Forum“