Bulletin d'alerte Debian

DLA-1942-1 phpbb3 -- Mise à jour de sécurité pour LTS

Date du rapport :
6 octobre 2019
Paquets concernés :
phpbb3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2019-13776, CVE-2019-16993.
Plus de précisions :
  • CVE-2019-16993

    Dans phpBB, includes/acp/acp_bbcodes.php vérifiait de manière incorrecte le jeton CSRF dans la page des BBCode dans Administration Control Panel. Une attaque CSRF réelle était possible si un attaquant réussissait à récupérer l’identifiant de session d’un administrateur réauthentifié avant de les cibler.

  • CVE-2019-13776

    phpBB permettait le vol de l’identifiant de session du Administration Control Panel en exploitant un CSRF dans la fonction Remote Avatar. Le vol du jeton CSRF aboutit à un XSS stocké.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.0.12-5+deb8u4.

Nous vous recommandons de mettre à jour vos paquets phpbb3.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.