[39293] in bugtraq
Re: PHP nuke XSS vulnerability
daemon@ATHENA.MIT.EDU (wormz.web@gmail.com)
Sat Jun 25 16:08:11 2005
Date: 25 Jun 2005 16:51:57 -0000
Message-ID: <20050625165157.19235.qmail@securityfocus.com>
Content-Type: text/plain
Content-Disposition: inline
Content-Transfer-Encoding: binary
MIME-Version: 1.0
From: wormz.web@gmail.com
To: bugtraq@securityfocus.com
////////////////////////////////////////
// //
// ENGLISH //
// //
////////////////////////////////////////
www.wormzweb.tk
This bug do not affect all php-nuke versions because not all versions allow link offsite avatars.
Php-nuke use phpbb forums so perhaps that problem affects phpbb forums too.
Solution: A simple solution meanwhile a official solution will apear is this:
In http://yoursite/modules/Forums/admin/index.php
you can configure your forum options, in this options you can disable offsite avatars. This is not an official solution, is a temporal solution till an official will appear.
MORE INFO IN SPANISH:
http://usuarios.lycos.es/wormzweb/modules.php?name=News&file=article&sid=209
////////////////////////////////////////
// //
// ESPAÑOL //
// //
////////////////////////////////////////
www.wormzweb.tk
Este bug no afecta a todas las versiones de php-nuke ya que no todas las versiones permiten el enlace de avatares a imagenes externas a la web.
Php-nuke usa foros con phpbb por lo que quizá el problema sea en este tipo de foros y también se vean afectados.
Solución: Una solucion temporal NO OFICIAL es la siguiente mientras no aparece un parche ante este error.
En http://yoursite/modules/Forums/admin/index.php
se puede configurar las opciones del foro, una de estas opciones es deshabilitar los avatares externos, con esta opción solo se permitirá poner avatares internos a la web y por lo tanto no se podrá introducir el código del xploit.
PARA MAS INFORMACIÓN:
http://usuarios.lycos.es/wormzweb/modules.php?name=News&file=article&sid=209
