Faille de sécurité dans punBB

Trent · 10-01-2008 19:12:57

Salut,

J'ai constaté une faille de sécurité dans punBB sur opera-fr.com, toutefois je ne sais pas si il utilise la dernière version de punBB ni quel « mods » sont installés, je viens donc résumé le problème ici :

Si l'on met du HTML dans le titre d'un message, il n'y a aucun htmlentities ou de choses de ce genre lors de son affichage sur la page d'accueil, voici un screen explicatif :

http://files.myopera.com/ra_mon/albums/ … _punbb.png
le titre du méssage était « problème <input type="file">

Vous comprendrez que c'est un problème très important, si l'on met une redirection javascript récupérant les cookies, vol de comptes possibles par exemple.

Je ne savait pas ou poster le problème, je n'ai vu aucune catégorie à ce propos sur le site (punbb.fr), et je l'ai donc posté ici, en grande partie égalemenet car je ne sais pas si cela est provoqué par une vielle version, un mods, etc...

Merci wink
Trent.

Dernière modification par Trent (10-01-2008 19:14:08)

dahousemix · 10-01-2008 19:17:51

C'est parce qu'un mod est installé, c'est le MOD qui a créé cette faille. (Peut être la mauvaise installation de celui-ci aussi).

PascL · 10-01-2008 19:18:11

Par défaut, le titre du sujet n'est pas affiché sur l'index, donc c'est une modif à eux.

Edit : En fait, c'est sur le wiki ici que le problème se trouve

Dernière modification par PascL (10-01-2008 19:26:17)

Trent · 10-01-2008 19:24:18

PascL a écrit :

Par défaut, le titre du sujet n'est pas affiché sur l'index, donc c'est une modif à eux.

Moui j'ai remarqué cela, mais est-ce inclu dans punBB de pouvoir le faire ou est-ce un mods ? Car dans le second cas, il faudra avertir les dév du mods...

PascL · 10-01-2008 19:31:17

J'ai modifié le wiki en ajoutant un pun_htmlspecialchars : http://www.punbb.fr/aide/doku.php/astuc … dex_forums

Dernière modification par PascL (10-01-2008 19:32:13)

Trent · 11-01-2008 02:33:52

Ravi d'avoir été utile smile
Trent.

TLP · 12-01-2008 09:12:46

Bonjour,

Lorsque vous pensez avoir découvert une faille, il serait souhaitable de ne pas l'expliquer au public, mais de contacter les auteurs du forum / mods directement par courriel.

Archives FluxBB.fr

#1 10-01-2008 19:12:57

Faille de sécurité dans punBB

#2 10-01-2008 19:17:51

Re : Faille de sécurité dans punBB

#3 10-01-2008 19:18:11

Re : Faille de sécurité dans punBB

#4 10-01-2008 19:24:18

Re : Faille de sécurité dans punBB

#5 10-01-2008 19:31:17

Re : Faille de sécurité dans punBB

#6 11-01-2008 02:33:52

Re : Faille de sécurité dans punBB

#7 12-01-2008 09:12:46

Re : Faille de sécurité dans punBB

Pied de page des forums