| Title | phpBB における重要な情報を取得される脆弱性 |
|---|---|
| Summary | phpBB は、タイプ依存型の関数へ受け渡す前にユーザ指定の入力変数タイプを検証しない、および結果のエラーメッセージ内にインストールパスを表示する不備があるため、重要な情報を取得される脆弱性が存在します。 |
| Possible impacts | 第三者により、重要な情報を取得される可能性があります。 |
| Solution | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| Publication Date | Feb. 8, 2007, midnight |
| Registration Date | Dec. 20, 2012, 6:02 p.m. |
| Last Update | Dec. 20, 2012, 6:02 p.m. |
| CVSS2.0 : 警告 | |
| Score | 5 |
|---|---|
| Vector | AV:N/AC:L/Au:N/C:N/I:N/A:P |
| phpBB |
| phpBB 2.0.20 |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年12月20日] 掲載 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | phpBB 2.0.20 does not verify user-specified input variable types before being passed to type-dependent functions, which allows remote attackers to obtain sensitive information, as demonstrated by the (1) mode parameter to memberlist.php and the (2) highlight parameter to viewtopic.php that are used as an argument to the htmlspecialchars or urlencode functions, which displays the installation path in the resulting error message. |
|---|---|
| Summary | phpBB 2.0.20 no verifica tipos de variables de entrada especificadas por el usuario antes de ser pasadas a funciones dependientes del tipo, lo cual permite a atacantes remotos obtener información sensible, como ha sido demostrado por (1) el parámetro mode a memberlist.php y el (2) parámetro highlight a viewtopic.php que son usados como argumento en las funciones htmlspecialchars o urlencode, lo cual muestra la ruta de instalación en el mensaje de error resultante. |
| Publication Date | Feb. 9, 2007, 2:28 a.m. |
| Registration Date | Jan. 29, 2021, 3:36 p.m. |
| Last Update | April 23, 2026, 9:35 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:phpbb_group:phpbb:2.0.20:*:*:*:*:*:*:* | |||||