江蘇
關(guān)鍵詞
漏洞
據(jù) phpBB 通報,舊版 phpBB(包括 3.3.16 及之前所有 3.x 版本,以及 4.0.0-a2 之前的全部 4.x 測試版本)均含有一項身份認證繞過漏洞,黑客可利用漏洞直接登錄任意用戶賬號(甚至包括論壇管理員賬號),目前官方已發(fā)布 3.3.17 版本安全更新,修復了相應(yīng)漏洞。
該漏洞由安全公司 Aikido 發(fā)現(xiàn),并通過 HackerOne 平臺向官方披露。Aikido 表示,這一漏洞已經(jīng)存在超過 10 年,黑客僅需發(fā)送特定的 HTTP 請求即可觸發(fā)漏洞并登錄任意賬號。由于 phpBB 默認會公開論壇用戶列表,攻擊者能夠輕松獲取用戶名,從而冒充管理員或普通用戶,讀取用戶私信等敏感信息;若成功獲取管理員權(quán)限,還可進一步獲得論壇內(nèi)容的完整讀取、修改和刪除權(quán)限。
不過,由于 phpBB 的后臺管理面板(Admin Control Panel,ACP)采用獨立密碼保護機制,因此該漏洞暫時無法直接導致遠程代碼執(zhí)行(RCE)風險。
安全圈
網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
