phpBB — доска объявлений для UNIX и Windows систем. 

Обнаружено несколько проблем c
фильтрацией ввода пользователя. Одна из возможных конфигурации PHPbb2 позволяет использовать некоторые HTML тэги для форматирования текста. Внутри этих тэгов можно вставить произвольный код сценария, который не будет отфильтрован. Уязвимость может использоваться для кражи опознавательной информации, хранящейся в куки пользователя, просмотревшего страницу со злонамеренным постингом. Примеры: 

<b onMouseOver=»alert(document.location);»>This piece of text could be
dangerous if you were to move your mouse over it!</b> 
<i onClick=»alert(document.location);»>This piece of text could be dangerous if you were to click it!</i> 
<u onClick=»alert(‘Hello’);»>This piece of text could be dangerous if you were to click it!</u> 

Уязвимость обнаружена в phpBB2 2.0.3.



Оставить мнение