漏洞信息详情

phpBB 跨站请求伪造漏洞

• CNNVD编号：CNNVD-201502-096
• 危害等级： 中危
  
• CVE编号： CVE-2015-1432
• 漏洞类型： 跨站请求伪造
• 发布时间： 2015-02-05
• 威胁类型： 远程
• 更新时间： 2015-02-11
• 厂        商： phpbb
• 漏洞来源： FBNeal and lampsys

漏洞简介

phpBB是phpBB组开发的一套开源的且基于PHP语言的Web论坛软件。该软件具有支持多国语言、多种数据库和自定义版面设计等特点。

phpBB 3.0.13之前版本的includes/ucp/ucp_pm_options.php脚本中的‘message_options’函数存在安全漏洞，该漏洞源于程序没有正确验证表单键值。远程攻击者可利用该漏洞实施跨站请求伪造攻击，更改‘full folder’设置。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://wiki.phpbb.com/Release_Highlights/3.0.13

参考网址

来源:tracker.phpbb.com

链接:https://tracker.phpbb.com/browse/PHPBB3-13526

来源:MLIST

链接:http://seclists.org/oss-sec/2015/q1/373

来源:github.com

链接:https://github.com/phpbb/phpbb/pull/3311

来源:XF

链接:http://xforce.iss.net/xforce/xfdb/100671

来源:github.com

链接:https://github.com/phpbb/phpbb/commit/23069a13e203985ab124d1139e8de74b12778449

来源:wiki.phpbb.com

链接:https://wiki.phpbb.com/Release_Highlights/3.0.13

来源: BID

链接:http://www.securityfocus.com/bid/72399

受影响实体

• Phpbb Phpbb:3.0.12  

补丁

• phpbb-release-3.0.13
• phpbb-release-3.0.13