W phpBB wykryto Bug, który pozwala na podstawie wpisanego url'a w znaczniki img na dokonanie dowolnej operacji z kontem użytkownika a także z poziomu Panelu Administracyjnego.

Usuniecie Bug'u:

otwórz: /includes/bbcode.php i znajdź:


zamień na:


Więcej na:
http://przemo.org/phpBB2/forum/viewtopic.php?t=2194
http://www.phpbb.com/bugs/bug.php?op=show&bugid=2521
http://www.phpbb.pl/forum/viewtopic.php?p=38611#38611

uwazam ze panika nie jest potrzebna...

moim zdaniem panel administracyjny jest bezpieczny - tam zawsze wymagany jest sid (identyfikator sesji) w adresie lub zmiennej post formularza... nie wystarczy cookies jak na pozostalej czesci forum... wiec nie ma obaw ze ktos nagle stanie sie adminem...

inna sprawa jest z profilem uzytkownika... ale to moze spowodowac jedynie modyfikacje profilu (ale nie zmiana hasla ani maila - do tego potrzeba jest znajomosc poprzedniego hasla)... teoretycznie wydaje mi sie ze mozna tez zmienic tresc konkretnego posta jesli poda sie jego parametry (dotyczy tylko jednego wybranego posta) no i zalozenie ze autor posta odwiedzi watek - o co nie trudno

jesli sie myle to mnie poprawcie

sprawa moze byc klopotliwa ale moim zdaniem panika nie jest potrzebna

Panika nie, ale przeciez nie jest to az taki problem, zeby zmienic linike tekstu w jednym pliku

Miało nie być a jednak jest. Dzisiaj phpBB Group wypuszcza kolejną wersję - 2.0.8. Poprawiono w niej wszystkie dotychczas wiadome błędy ( w tym bug znacznika img). Więcej szczegółów: http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=183982