1

Тема: PunBB 1.3.6

Вышел PunBB 1.3.6. Закрыта критическая XSS уязвимость.
Подробнее на оф.форуме: http://punbb.informer.com/forums/topic/24430/punbb-136/
К сожалению доступа к главной странице сайта на информере нету, поэтому информация опубликована только на форуме.

Захочешь — найдешь время, не захочешь — найдешь причину.

Поделиться

2 (18.09.2011 02:02 отредактировано dilavis)

Re: PunBB 1.3.6

Измененные файлы: https://github.com/punbb/punbb/compare/1.3.5...1.3.6

Поделиться

3

Re: PunBB 1.3.6

https://github.com/punbb/punbb/compare/1.3.5...1.3.6
admin/bans.php
admin/db_update.php
admin/install.php
include/functions.php
profile.php

Добавлено спустя 56 секунд:

Кстати говоря, проблема XSS касается в том числе ветки 1.4, ее тоже надо обновить из последней версии на гитхабе.

Добавлено спустя 2 минуты 11 секунд:

И еще. Это пассивная уязвимость, чтобы это заработало, жертву нужно заманить на специально-сформированную страницу. При этом работает уязвимость только в ИЕ 6-8.

Захочешь — найдешь время, не захочешь — найдешь причину.

Поделиться

4

Re: PunBB 1.3.6

Трудновыполнимая уязвимость))

Все файлы заменил, но в админке осталасось: "Версия PunBB PunBB 1.3.5".

Поделиться

5

Re: PunBB 1.3.6

db_update надо запустить

Захочешь — найдешь время, не захочешь — найдешь причину.

Поделиться

6

Re: PunBB 1.3.6

Ок, все отлично!

Поделиться

7

Re: PunBB 1.3.6

не совсем понял ясно какие изменены файлы а как узнать что на что изменено в самих файлах?

Поделиться

8

Re: PunBB 1.3.6

http://punbb.informer.com/download/hdif … 1.3.6.html

Захочешь — найдешь время, не захочешь — найдешь причину.

Поделиться