[3.3] Open Redirect Schwachstelle

Fragen rund um die Installation, Administration und Benutzung von phpBB.
Forumsregeln
Bitte im Thementitel den Präfix deiner phpBB-Version angeben
Antworten
Toby610
Mitglied
Beiträge: 1
Registriert: 18.05.2020 08:35

[3.3] Open Redirect Schwachstelle

Beitrag von Toby610 »

Hallo,

wir betreiben ein Forum mit Version 3.3.0 von phpBB.
Vor kurzem haben wir die Information erhalten, dass es eine Schwachstelle in unserem Forum gibt.

Daraufhin hatte ich die Version auf die aktuelle Version (3.3.0) hochgezogen. Aber diese Schwachstelle besteht weiterhin.
Es handelt sich um folgendes:

wenn man folgendes mit der URL seines Forums ausführt:
curl -v https://myforum.server.de/mo.google.com

result is a redirect to https://myforum.server.demo.google.com

This could be used to redirect victims to a malicious URL without their knowledge. For example, the link http://myforum.server.de/mo.example.com could be sent to a victim; this victim can see that the domain name is trusted (myforum.server.de) however when opening the link in their browser they will be redirected to a domain under the attacker's control (myforum.server.demo.example.com in this case). The attacker could perform any other attack on this URL as it's under their control, e.g. creating a phishing page. When accessing myforum.server.de via HTTP, the server returns a 302 redirect to the HTTP version. However the Location header which the client will use to request the replacement URL is incorrectly generated.

Ist das bereits bekannt? Und wenn ja wann wird das gefixt?

Viele Grüße
Toby610
Nach oben
Benutzeravatar
Dr.Death
Moderator
Moderator
Beiträge: 17401
Registriert: 23.04.2003 08:22
Wohnort: Xanten
Kontaktdaten:
Kontaktdaten von Dr.Death

Re: [3.3] Open Redirect Schwachstelle

Beitrag von Dr.Death »

Was hat das mit phpBB zu tun ?

Das ist ein WebServer Problem.....
Nach oben
Antworten

Zurück zu „Support-Forum“