События

В форумном движке phpBB3 обнаружена критическая уязвимость

В движке phpBB3 для администрирования форумов выявлена опасная уязвимость, с помощью которой злоумышленник, получив права администратора, может выполнить собственный код и перехватить контроль над сервером.

Проблема (CVE-2018-19274) связана с функций, позволяющей администраторам редактировать загруженные на форум изображения с помощью редактора Imagick. Для эксплуатации уязвимости злоумышленник должен разместить вредоносный файл на сервере и знать точный путь к нему. Атака осуществляется с использованием техники Phar deserialization (десериализация Phar), основанной на применении PHP-архивов формата .phar.

Атака предполагает несколько этапов: загрузку Phar-файла с вредоносным кодом на сервер (сделать это несложно, поскольку phpBB3 разрешает пользователям загрузку вложений к публикациям), изменение расширения файла, извлечение точного пути к файлу и, собственно, эксплуатацию уязвимости. Более подробно процесс описан здесь .

Разработчики устранили вышеуказанную уязвимость в версии phpBB 3.2.4. Для исправления проблемы была исключена возможность задавать абсолютные пути в администраторском разделе.

Источник

Автор: Сергей Куприянов
23.11.2018 (14:19)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.