lists.openwall.net   lists  /  announce  owl-users  owl-dev  john-users  john-dev  passwdqc-users  yescrypt  popa3d-users  /  oss-security  kernel-hardening  musl  sabotage  tlsify  passwords  /  crypt-dev  xvendor  /  Bugtraq  Full-Disclosure  linux-kernel  linux-netdev  linux-ext4  linux-hardening  linux-cve-announce  PHC 
Open Source and information security mailing list archives
 
Hash Suite: Windows password security audit tool. GUI, reports in PDF.
[<prev] [next>] [day] [month] [year] [list] 
Date: 25 Jun 2005 16:51:57 -0000
From: wormz.web@...il.com
To: bugtraq@...urityfocus.com
Subject: Re: PHP nuke XSS vulnerability


////////////////////////////////////////
//                                    //
//              ENGLISH               //
//                                    //
////////////////////////////////////////

www.wormzweb.tk

This bug do not affect all php-nuke versions because not all versions allow link offsite avatars.

Php-nuke use phpbb forums so perhaps that problem affects phpbb forums too.

Solution: A simple solution meanwhile a official solution will apear is this: 

In http://yoursite/modules/Forums/admin/index.php
you can configure your forum options, in this options you can disable offsite avatars. This is not an official solution, is a temporal solution till an official will appear.

MORE INFO IN SPANISH:
http://usuarios.lycos.es/wormzweb/modules.php?name=News&file=article&sid=209

////////////////////////////////////////
//                                    //
//              ESPAÑOL               //
//                                    //
////////////////////////////////////////

www.wormzweb.tk

Este bug no afecta a todas las versiones de php-nuke ya que no todas las versiones permiten el enlace de avatares a imagenes externas a la web.

Php-nuke usa foros con phpbb por lo que quizá el problema sea en este tipo de foros y también se vean afectados.

Solución: Una solucion temporal NO OFICIAL es la siguiente mientras no aparece un parche ante este error.

En http://yoursite/modules/Forums/admin/index.php
se puede configurar las opciones del foro, una de estas opciones es deshabilitar los avatares externos, con esta opción solo se permitirá poner avatares internos a la web y por lo tanto no se podrá introducir el código del xploit.

PARA MAS INFORMACIÓN:
http://usuarios.lycos.es/wormzweb/modules.php?name=News&file=article&sid=209

Powered by blists - more mailing lists

Powered by Openwall GNU/*/Linux Powered by OpenVZ