Seite 1 von 1
sicherheitsproblem in v2.1.6?
Verfasst: 08.07.2005 16:44
von pharao
folgende mail ereilte mich heute...
...
Subject: [Full-disclosure] Unpatched phpBB XSS [in 2.0.16]
...
This exploit is already circulating, so I am posting a notice here.
There is a way to exploit IE's HTML rendering engine to render invalid
HTML code, embedded within a link. This can be used to bypass phpBB's
filtering system to cause a cross site scripting issue.
A description in Russian is available here:
http://antichat.ru/txt/phpbb/
PoC is included with the description. I would advise administrators to
disable the rendering of BBCode for the time being, this mitigates the
issue.
...
kommentare?
wenn interessant bitte weiterleiten an phpbb.com
pharao
Verfasst: 08.07.2005 17:05
von Christian Benz
Hallo,
ein Thread dazu sollte reichen.
->
http://www.phpbb.de/viewtopic.php?t=92016
Gruß,
Chris
Verfasst: 09.07.2005 00:00
von pharao
sorry, beim suchen wohl bloed angestellt
allerdings, um auf das im obengenannten thread gesagte nochmal zurueckzukommen. die leutz von phpbb.com sollten sich beeilen, ich habe gerade ein noch etwas besser kommentiertes exploit gefunden welches vor etwas mehr als 2 stunden gepostet wurde.
http://www.addict3d.org/index.php?page= ... ty&ID=4439
es wird also heiss...
pharao
Verfasst: 09.07.2005 01:49
von kellanved
Nun Mal langsam. Man könnte streiten wo der Bug liegt:; bei phpBB, da es irreguläres HTML erzeugt, oder beim IE, weil er es (falsch)darstellt.
Auch ist das Problem nicht nur bei phpBB; ich kenne mindestens ein weiteres betroffenes Forensystem.
Jedenfalls ist dies Thema #3 und damit unnötig. (und das "neue" ist identisch, nur nicht auf Russisch).