Обнаружена новая уязвимость в парсере BBCode в форумных скриптах IP.Board линейки 2.х. В частности затронута версия 2.3.6.
Уязвимость эксплуатирует ошибку в обработке нескольких вложенных друг в друга тегов и позволяет вставлять на страницы форума произвольный HTML и JavaScript-код.
update: тут был пример использования уязвимости, убрал
Вредоносный код срабатывает в подписях. В теле сообщения возможно только нарушение разметки страницы, javascript-эвенты отфильтровываются. IPS и IBR поставлены в известность, но реакции пока не последовало. Инфа уже расползается по форумам, на многих уже запощен эксплоит. В качестве временного решения предлагаю единственный вариант — отключить использование BBCODE в подписях и тег acronym. Версия 3.х уязвимости не подвержена.
Источник — пользователь fagediba, чей форум был таким образом взломан: http :// forums.ibresource.ru/index.php?showtopic=60138 (beware of habraeffect!)
update: сделал скриншот эксплойтнутого форума — вместо того чтобы идти по ссылке выше, можно просто посмотреть его под катом.
З.Ы. И пусть IPB-админы, читающие Хабр, будут предупреждены первыми.
З.З.Ы. Текст составлен одним из администраторов IP.Board форумов, сложное решение разместить его тут принял лично я.
UPDATE: тут была ссылка на поломанную страницу с офф. форума, но ее уже подчистили. Однако вывод — IPB v3.x тоже подвержена действию эксплойта
Уязвимость эксплуатирует ошибку в обработке нескольких вложенных друг в друга тегов и позволяет вставлять на страницы форума произвольный HTML и JavaScript-код.
update: тут был пример использования уязвимости, убрал
Вредоносный код срабатывает в подписях. В теле сообщения возможно только нарушение разметки страницы, javascript-эвенты отфильтровываются. IPS и IBR поставлены в известность, но реакции пока не последовало. Инфа уже расползается по форумам, на многих уже запощен эксплоит. В качестве временного решения предлагаю единственный вариант — отключить использование BBCODE в подписях и тег acronym. Версия 3.х уязвимости не подвержена.
Источник — пользователь fagediba, чей форум был таким образом взломан: http :// forums.ibresource.ru/index.php?showtopic=60138 (beware of habraeffect!)
update: сделал скриншот эксплойтнутого форума — вместо того чтобы идти по ссылке выше, можно просто посмотреть его под катом.
З.Ы. И пусть IPB-админы, читающие Хабр, будут предупреждены первыми.
З.З.Ы. Текст составлен одним из администраторов IP.Board форумов, сложное решение разместить его тут принял лично я.
UPDATE: тут была ссылка на поломанную страницу с офф. форума, но ее уже подчистили. Однако вывод — IPB v3.x тоже подвержена действию эксплойта