Новая уязвимость Phpbb 2.0.19 XSS в profile.php

FORUMS

MEMBERS

RECENT POSTS

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Уязвимости CMS / форумов
Новая уязвимость Phpbb 2.0.19 XSS в profile.php

Опции темы

Поиск в этой теме

Опции просмотра

Новая уязвимость Phpbb 2.0.19 XSS в profile.php

05.04.2006, 14:29

pktrader

Новичок

Регистрация: 05.04.2006

Сообщений: 4

С нами: 10578697

Репутация: 1

Новая уязвимость Phpbb 2.0.19 XSS в profile.php

Привет всем!

Оригинальная информация:
http_://secunia.com/advisories/19494/

Помогите пожалуйста разобраться каким образом эта штука работает.

𝕏 Twitter Reddit Telegram Копировать ссылку

05.04.2006, 17:43

Otaku

Познавший АНТИЧАТ

Регистрация: 24.07.2005

Сообщений: 1,057

С нами: 10946149

Репутация: 116

Вроде пользы не много.
Видимио отсутствует проверка на запрещённые символы там,где в профайле пароль меняется.

05.04.2006, 21:37

pktrader

Новичок

Регистрация: 05.04.2006

Сообщений: 4

С нами: 10578697

Репутация: 1

Цитата:

Сообщение от Otaku

Вроде пользы не много.

Какой код возможно выполнить с этим эксплойтом? я не мастер в PHP и все мои происки в исходниках ничего не дали. Код как код.

05.04.2006, 21:41

мишка44

Новичок

Регистрация: 24.12.2005

Сообщений: 13

С нами: 10724805

Репутация: 0

код любой выполнить можно

05.04.2006, 23:04

pktrader

Новичок

Регистрация: 05.04.2006

Сообщений: 4

С нами: 10578697

Репутация: 1

Цитата:

Сообщение от мишка44

код любой выполнить можно

Уважаемый мишка44 запостите пример использования эксплоита?

05.04.2006, 23:13

Grema

Участник форума

Регистрация: 29.11.2005

Сообщений: 122

С нами: 10761096

Репутация: 27

Программа: phpBB 2.0.19, возможно более ранние версии.

Опасность: Низкая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "cur_password" в сценарии profile.php во время редактирования профиля. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

P.S. вроде ниче интерестного.... хотя...

06.04.2006, 01:59

*[poison]*

Участник форума

Регистрация: 03.04.2006

Сообщений: 115

С нами: 10582082

Репутация: 58

Цитата:

Сообщение от Grema

Наличие эксплоита: Нет

Ну че ты паришся, нету сплойтика.

Цитата:

Сообщение от Grema

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "cur_password" в сценарии profile.php во время редактирования профиля. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Думай как XSS сделать исходя из этого описания.

05.04.2006, 23:36

pktrader

Новичок

Регистрация: 05.04.2006

Сообщений: 4

С нами: 10578697

Репутация: 1

Какая польза или вред при использовании данной уязвимости?
И какой код (желательно спримером)возможно выполнить?

07.04.2006, 01:53

Dagon

Познающий

Регистрация: 27.03.2006

Сообщений: 86

С нами: 10591280

Репутация: 52

Цитата:

Сообщение от pktrader

вот пример : ввести в "Текущий пароль"

"><script>alert(1)</script>

#10

06.04.2006, 15:10

Grema

Участник форума

Регистрация: 29.11.2005

Сообщений: 122

С нами: 10761096

Репутация: 27

Я не парюсь... я просто написал то что было на
http?//www.Securitylab.ru
просто капирайт забыл добавить

З.Ы. млин кто мне уже минус поставил?

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
exploit phpBB 2.0.19 ( by SpiderZ )	liauliau	Уязвимости CMS / форумов	21	13.01.2007 23:01
Новая XSS на форуме phpBB 2.0.19	NeMiNeM	Уязвимости CMS / форумов	6	26.10.2006 21:30
Уязвимость в phpbb 2.0.19 возможно даже более ранние версии	k1b0rg	Уязвимости CMS / форумов	11	24.03.2006 19:57