漏洞信息详情
phpBB 跨站请求伪造漏洞
- CNNVD编号:CNNVD-201502-096
- 危害等级: 中危
- CVE编号: CVE-2015-1432
- 漏洞类型: 跨站请求伪造
- 发布时间: 2015-02-05
- 威胁类型: 远程
- 更新时间: 2015-02-11
- 厂 商: phpbb
- 漏洞来源: FBNeal and lampsys
漏洞简介
phpBB是phpBB组开发的一套开源的且基于PHP语言的Web论坛软件。该软件具有支持多国语言、多种数据库和自定义版面设计等特点。
phpBB 3.0.13之前版本的includes/ucp/ucp_pm_options.php脚本中的‘message_options’函数存在安全漏洞,该漏洞源于程序没有正确验证表单键值。远程攻击者可利用该漏洞实施跨站请求伪造攻击,更改‘full folder’设置。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://wiki.phpbb.com/Release_Highlights/3.0.13
参考网址
来源:tracker.phpbb.com
链接:https://tracker.phpbb.com/browse/PHPBB3-13526
来源:MLIST
链接:http://seclists.org/oss-sec/2015/q1/373
来源:github.com
链接:https://github.com/phpbb/phpbb/pull/3311
来源:XF
链接:http://xforce.iss.net/xforce/xfdb/100671
来源:github.com
链接:https://github.com/phpbb/phpbb/commit/23069a13e203985ab124d1139e8de74b12778449
来源:wiki.phpbb.com
链接:https://wiki.phpbb.com/Release_Highlights/3.0.13
来源: BID
链接:http://www.securityfocus.com/bid/72399
受影响实体
- Phpbb Phpbb:3.0.12
补丁
- phpbb-release-3.0.13
- phpbb-release-3.0.13
评论