Összefoglaló
A phpBB szoftver hibásan dolgozza fel az egyik URL-ben található paramétert. Egy támadó megrongálhatja az érintett weboldalt, tetszőleges kódot futtathat, vagy akár adminisztrátori jogosultságokat is szerezhet az érintett rendszereken.
Leírás
A phpBB szoftver hibásan dolgozza fel az egyik URL-ben található paramétert. Egy támadó megrongálhatja az érintett weboldalt, tetszőleges kódot futtathat, vagy akár adminisztrátori jogosultságokat is szerezhet az érintett rendszereken.
A phpBB helytelenül használja az urldecode() függvényt a “highlight” paraméteren a viewtopic.php fájlban. Ez lehetővé teszi, hogy egy távoli támadó tetszőleges kódot futtasson a sérülékeny szervereken.
Bejelentések alapján ezt a sérülékenységet a Santy.A féreg aktívan kihasználja.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: us.mcafee.com
Egyéb referencia: securityresponse.symantec.com
Gyártói referencia: www.phpbb.com
US-CERT 497400
CVE-2004-1315 - NVD CVE-2004-1315