S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 02 janvier 2006
N° CERTA-2006-AVI-002
Affaire suivie par: CERT-FR
le 02 janvier 2006

Avis du CERT-FR

Objet: Vulnérabilité dans phpBB

Gestion du document

Référence CERTA-2006-AVI-002
Titre Vulnérabilité dans phpBB
Date de la première version 02 janvier 2006
Date de la dernière version 02 janvier 2006
Source(s) Mise à jour de sécurité phpBB 2.0.19
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de commande arbitraire à distance ;
  • Cross Site Scripting.

Systèmes affectés

phpBB 2.x.

Résumé

Une vulnérabilité dans phpBB permet à un utilisateur distant mal intentionné de réaliser une attaque de type Cross Site Scripting ou d'exécuter du code arbitraire à distance.

Description

L'outil phpBB est utilisé dans la mise en œuvre de forums sur l'Internet.

La vulnérabilité est due à une erreur lors de l'assainnissement de certains arguments. Elle peut être exploitée afin d'exécuter du code HTML ou Javascript sur le poste d'un internaute visitant un forum compromis.

Solution

Appliquer la mise à jour de sécurité phpBB en passant à la version 2.0.19 disponible à l'adresse suivante :

http://www.phpbb.com/downloads.php

Documentation

Gestion détaillée du document

    le 02 janvier 2006
    version initiale.