|
Vulnérablité phpbb
Une vulnérabilité CSS est présente dans PhpBB derniere version ( jusqu'a la 2.03 ). cette vulnerabilité permet, entre autre, de recuperer les passes admin ou user.
La faille provient du fichier viewtopic.php. Dans ce fichier, la function highlight n'est pas filtrée.
A placer au debut de viewtopic.php pr vous protéger :
$HTTP_GET_VARS['highlight'] = htmlspecialchars($HTTP_GET_VARS['highlight']);
$HTTP_GET_VARS['highlight'] = PREG_Replace("/[A-Z&.;)~!@#$%^''*\{\}\/]/i", "",$HTTP_GET_VARS['highlight']);
|