phpBB 3.0.7 feed.php脚本错误权限检查漏洞

2010-05-24T00:00:00
ID SSV:19678
Type seebug
Reporter Root
Modified 2010-05-24T00:00:00

Description

CVE(CAN) ID: CVE-2010-1627

phpBB是非常流行的WEB论坛程序。

phpBB的feed.php脚本没有正确地检查订阅源的权限,在以下环境中远程攻击者可以绕过权限检查执行非授权操作:

  • 启用了订阅源
  • 启用了张贴或主题源
  • 非授权用户对私人论坛设置了论坛权限

phpBB 3.0.7 厂商补丁:

phpBB Group

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.phpbb.com/community/viewtopic.php?f=14&t=2014195