公開日:2004/12/22 最終更新日:2004/12/22

JVNTA04-356A
phpBBにおけるhighlightパラメータの脆弱性を対象とする侵害活動

概要


phpBBは、入力されたURLに含まれるパラメーターの処理に問題を含んでいます。
第三者によりphpBBウェブサイトの改ざん、あるいは任意のコマンドの実行や、掲示板上の管理権限を獲得される可能性があります。

影響を受けるシステム

  • phpBB バージョン 2.0.10 およびそれ以前

詳細情報

想定される影響

遠隔から第三者により、phpBBウェブサイトの改ざんや任意のコマンドを実行される可能性があります。

対策方法

ベンダ情報

ベンダ リンク
富士通 TA04-356Aに対する富士通の情報
富士通 TA04-356Aに対するSolaris OEの情報

参考情報

  1. ISS X-Force Database: phpbb-admincashphp-file-include (18151)
    phpBB admin_cash.php file include
  2. US-CERT Alert TA04-356A
    Exploitation of phpBB highlight parameter vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory Technical Cyber Security Alert TA04-356A
CPNI Advisory
TRnotes
CVE
JVN iPedia