Várias vulnerabilidades foram descobertas no phpBB, um sistema de fórums para web com diversas funcionalidades. O projeto [1]Common Vulnerabilities and Exposures identificou os seguintes problemas:
Múltiplos erros de interpretação permitem que usuários remotos autenticados injetem scripts web arbitrários quando avatares remotos e upload de avatares estão habilitados.
O phpBB permite que atacantes remotos transponham os mecanismos de segurança que desativam variáveis globais permitindo aos atacantes manipular o comportamento do phpBB.
O phpBB permite que atacantes remotos transponham as verificações de segurança quando o parâmetro "register_globals" está habilitado e a função de início de sessão não foi chamada para manipular a sessão.
O phpBB permite que atacantes remotos modifiquem variáveis globais e transponham os mecanismos de segurança.
Múltiplas vulnerabilidades de "cross-site scripting" (XSS) permitem que atacantes remotos injetem scripts web arbitrários.
Uma vulnerabilidade de injeção SQL permite que atacantes remotos executem comandos SQL arbitrários.
O phpBB permite que atacantes remotos modifiquem expressões regulares e executem código PHP através do parâmetro signature_bbcode_uid.
Falta de limpeza na inserção do tipo de tópico permite que atacantes remotos injetem comandos SQL arbitrários.
Falta de validação nas requisições permite que atacantes remotos editem mensagens privadas de outros usuários.
A antiga distribuição estável ("woody") não contém os pacotes phpbb2.
Para a distribuição estável ("sarge") estes problemas foram corrigidos na versão 2.0.13+1-6sarge2.
Para a distribuição instável ("sid") estes problemas foram corrigidos na versão 2.0.18-1.
Recomendamos que você atualize seus pacotes phpbb2.
1.Common Vulnerabilities and Exposures é um projeto que visa padronizar os nomes para os avisos de vulnerabilidades e exposições de segurança.
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.