Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [WAZNE] Powazny bug phpBB !
Konnekt | Forum > Offtopic > Hydepark
KaLoH
W phpBB wykryto Bug, który pozwala na podstawie wpisanego url'a w znaczniki img na dokonanie dowolnej operacji z kontem użytkownika a także z poziomu Panelu Administracyjnego.

Usuniecie Bug'u:

otwórz: /includes/bbcode.php i znajdź:
CODE
$replacements[] = $bbcode_tpl['img'];


zamień na:
CODE
$replacements[] = "[IMG]Tymczasowo wylaczone[/IMG]";


Więcej na:
http://przemo.org/phpBB2/forum/viewtopic.php?t=2194
http://www.phpbb.com/bugs/bug.php?op=show&bugid=2521
http://www.phpbb.pl/forum/viewtopic.php?p=38611#38611
nix
uwazam ze panika nie jest potrzebna...

moim zdaniem panel administracyjny jest bezpieczny - tam zawsze wymagany jest sid (identyfikator sesji) w adresie lub zmiennej post formularza... nie wystarczy cookies jak na pozostalej czesci forum... wiec nie ma obaw ze ktos nagle stanie sie adminem...

inna sprawa jest z profilem uzytkownika... ale to moze spowodowac jedynie modyfikacje profilu (ale nie zmiana hasla ani maila - do tego potrzeba jest znajomosc poprzedniego hasla)... teoretycznie wydaje mi sie ze mozna tez zmienic tresc konkretnego posta jesli poda sie jego parametry (dotyczy tylko jednego wybranego posta) no i zalozenie ze autor posta odwiedzi watek - o co nie trudno wink.gif

jesli sie myle to mnie poprawcie smile.gif

sprawa moze byc klopotliwa ale moim zdaniem panika nie jest potrzebna wink.gif
KaLoH
Panika nie, ale przeciez nie jest to az taki problem, zeby zmienic linike tekstu w jednym pliku smile.gif
KaLoH
Miało nie być a jednak jest. Dzisiaj phpBB Group wypuszcza kolejną wersję - 2.0.8. Poprawiono w niej wszystkie dotychczas wiadome błędy ( w tym bug znacznika img). Więcej szczegółów: http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=183982
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2012 Invision Power Services, Inc.