Когда пользователь загружает avatar файл на PHPBB2 систему, система сохраняет файл со случайным именем. Это случайное имя состоит из IP адреса пользователя, закодированного в шестнадцатеричных значениях, сопровождаемых другими символами. Злонамеренный атакующий может расшифровать эту информацию и узнать IP адрес PHPBB2 пользователя. Пример: 

Имя avatar файла: d094d8473ce3c4ad501ce.gif
d094d847 — (HEX) IP адрес: 208.148.216.71 

Уязвимость обнаружена в phpBB Group phpBB 2.0-2.0.3.



Оставить мнение