Программа: phpBB 2.0.19 и более ранние версии

Уязвимость существует из-за того, что ID сессии включается в заголовок HTTP "Referer"
при отправке запросов внешние аватары или при создании ссылок на внешние сайты.
Злоумышленник может заставить администратора просмотреть профиль пользователя,
содержащий внешний аватар, и получить ID сессии администратора. Для удачной
эксплуатации уязвимости необходимо, чтобы использование внешних аватаров было
разрешено на сайте (не является значением по умолчанию).
 



Оставить мнение