Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в phpBB, позволяющая получить доступ к любому аккаунту без аутентификации"	+/–
Сообщение от opennews (??), 11-Июн-26, 22:55
В свободном движке для создания форумов phpBB выявлена уязвимость, позволяющая через отправку одного HTTP-запроса подключиться к сеансу любого пользователя форума. Уязвимость проявляется  в конфигурации phpBB по умолчанию. Проблема устранена в версии phpBB 3.3.17... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65667
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 11-Июн-26, 22:55	+10 +/–
Ух что сейчас будет с форумами.. Блин, надеюсь архивы есть. Пингуйте всех админов срочно, столько ценных данных потерять можем. Я проверил, реально работает, и это реально пи****. Можно залогиниться под админом. В админку зайти НЕЛЬЗЯ (т.к. phpBB спрашивает пароль ещё раз), но в модераторскую панель можно, и там можно много чего. Логи модерации, IPшки. Можно смотреть адреса почты всех юзеров. Можно логиниться всеми юзерами и скрапить ЛС.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

2. Сообщение от Аноним (2), 11-Июн-26, 22:57	+2 +/–
Лол, а норм что на Linux Mint форуме это работает?)) https://forums.linuxmint.com/viewtopic.php?p=1430678#p1430678 послание внизу оставил
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Аноним (4), 11-Июн-26, 23:12    Скрыто ботом-модератором	+3 +/–
Как вам сказать… Я прожила довольно долгую жизнь. vBulletin вам что-нибудь говорит? Прекрасный движок. КГ АМ. Я прошла интернет нулевых. И я желаю всем зумерам пройти его. Зумер определяется делом, а не шмотом.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

7. Сообщение от Аноним (7), 11-Июн-26, 23:23	+6 +/–
> в модераторскую панель можно, и там можно много чего. Логи модерации, IPшки. Можно смотреть адреса почты всех юзеров. Можно логиниться всеми юзерами и скрапить ЛС. Ой, я вас умоляю. В том и плюс классических форумов, что кроме адреса почты там ничего ценного не наскрапишь, ибо не реального имени, ни номера телефона и т.п. они не требуют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

8. Сообщение от q (ok), 11-Июн-26, 23:38	–3 +/–
Сейчас в основном вся гордость по пыху относится к прошлому, не к будущему: "А вот В ПРОШЛОМ создали википедию, фейсбук! Во! Великое прошлое, величие, диды!" Про то, что будет создано что-то аналогичное в будущем, разумный фанатик пыха уже не заикается. (Гм... "разумный фанатик пыха"... Оксюморон какой-то...)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

10. Сообщение от Аноним (10), 12-Июн-26, 01:08	+1 +/–
Ух, как будто бы во времени назад вернулся.
Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от Аноним (14), 12-Июн-26, 08:17	+1 +/–
раньше тут в новостях к уязвимрстям патч выкладывали, а теперь эксплойты в замечательное время мы живем
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от Аноним (16), 12-Июн-26, 09:48	+/–
А вот не был бы двиг с открытым исходным кодом никто бы никогда уязвимость не нашел.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

17. Сообщение от Аноним (17), 12-Июн-26, 10:20	+/–
то то рутрекер лежит в посл время
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #27

18. Сообщение от Аноним (-), 12-Июн-26, 10:45	+/–
LoL. Такую уязвимость трудно не найти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #20

19. Сообщение от Гость (??), 12-Июн-26, 10:53	+/–
рутрекер лежит из-за того хоститься нигде не может продолжительное время, трекеры нагрузку не держат и cloudflare надо много платить за достаточную защиту phpbb там древний 2 версии и сильно модифицированный
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #23

20. Сообщение от Аноним (20), 12-Июн-26, 12:55	+1 +/–
Тогда почему ее за десяток лет не нашли? Лол
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #22, #26

22. Сообщение от Аноним (22), 12-Июн-26, 13:37	+/–
Для успешной эксплуатации уязвимость не надо оглашать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

23. Сообщение от Аноним (22), 12-Июн-26, 13:39	+/–
> и cloudflare надо много платить Рутрекер за клаудфлярей?! Клаудфляра же гасит огромную долю реальных юзеров... А вот правильных ботов как раз пропускает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #25, #28

25. Сообщение от Гость (??), 12-Июн-26, 13:49	+/–
> Рутрекер за клаудфлярей?! Да, c 2023 года полностью прячется за CF, форум ещё раньше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

26. Сообщение от Аноним (-), 12-Июн-26, 14:09	+/–
Нашли ведь. Эта уязвимость слишком неочевидная, если ориентироваться только на код. Для опытного специалиста поиск такой уязвимости "в слепую" не представляет большой сложности (гораздо проще, чем чисто через код). У такого уже есть в голове набор алгоритмов и шаблонов для этого. PHP_AUTH_USER — классический источник проблем...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

27. Сообщение от Аноним (28), 12-Июн-26, 17:08	+/–
Через их расширение для браузера всегда доступна.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

28. Сообщение от Аноним (28), 12-Июн-26, 17:09	+/–
Напишите администрации рутрекера, что вам виднее, как бороться с ддосом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема