CH azonosító
CH-4026Angol cím
PHP Easy Forum (phpKF) Cross-Site Request Forgery VulnerabilityFelfedezés dátuma
2010.12.06.Súlyosság
AlacsonyÖsszefoglaló
A PHP Easy Forum (phpKF) egy sérülékenységét jelentettek, amelyet kihasználva a támadók cross-site request forgery (XSRF/CSRF) támadást indíthatnak.
Leírás
Az alkalmazás lehetővé teszi a felhasználóknak, hogy HTTP kéréseken keresztül végezzenek el bizonyos műveleteket anélkül, hogy bármilyen érvényességi ellenőrzést végezne. Ezt kihasználva, például meg lehet változtatni egy bejelentkezett felhasználó profilját, amennyiben a felhasználó meglátogat egy rosszindulatú weboldalt.
A sérülékenységet az 1.80 verzióban jelentették. Más kiadások is érintve lehetnek.
Megoldás
Ne nyisson meg nem megbízható weboldalakat, amíg be van jelentkezve az alkalmazásba!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.exploit-db.com
SECUNIA 42468