Уязвимости в популярной системе организации форумов YaBB

23.10.2002 | 15:27
YaBB является одним из популярнейших бесплатных PHP форумов. В нем обнаружено две уязвимости. Первая - XSS в процедуре логина, а вторая - небезопасный метод модификации профиля пользователя.

Во-первых, при попытке входа в YaBB форум с некорректным логином/паролем, форум отобразит введенные данные и при этом не отфильтрует HTML тэги в поле для ввода пароля. Это позволяет организовать межсайтовый скриптинг и похищать cookie пользователя.

Во-вторых, YaBB имеет форму для изменения деталей о пользователе. При изменении пароля не требуется ввод текущего пароля. Это означает, что, если атакующий будет иметь cookie пользователя, то он сможет изменить его пароль.

Уязвимости подвержены версии YaBB 1.4.0 и 1.4.1.

Подробности: http://www.securiteam.com/unixfocus/6K00Q0A5QC.html.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://neworder.box.sk
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код