低危 phpBB 不安全文件权限漏洞

CVE编号

CVE-2013-5724

利用情况

暂无

补丁情况

官方补丁

披露时间

2013-09-13

漏洞描述

phpBB是phpBB组开发的一套开源的且基于PHP语言的Web论坛软件。该软件具有支持多国语言、多种数据库和自定义版面设计等特点。 Debian GNU/Linux的Phpbb3 3.0.11：rc2及之前的版本中存在安全漏洞，对缓存文件使用全局可写权限。本地攻击者可通过标准的文件系统写操作，利用该漏洞修改文件内容。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=711172
http://secunia.com/advisories/54665
http://www.debian.org/security/2013/dsa-2752

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	debian	phpbb3	*		Up to (including) 3.0.11-3
	运行在以下环境
	应用	debian	phpbb3	3.0.0-1	-
	运行在以下环境
	应用	debian	phpbb3	3.0.0-2	-
	运行在以下环境
	应用	debian	phpbb3	3.0.0-b5	-
	运行在以下环境
	应用	debian	phpbb3	3.0.0-rc1	-
	运行在以下环境
	应用	debian	phpbb3	3.0.0-rc2-1	-
	运行在以下环境
	应用	debian	phpbb3	3.0.0-rc3-1	-
	运行在以下环境
	应用	debian	phpbb3	3.0.0-rc4-1	-
	运行在以下环境
	应用	debian	phpbb3	3.0.0-rc5-1	-
	运行在以下环境
	应用	debian	phpbb3	3.0.0-rc7-1	-
	运行在以下环境
	应用	debian	phpbb3	3.0.1-1	-
	运行在以下环境
	应用	debian	phpbb3	3.0.10-1	-
	运行在以下环境
	应用	debian	phpbb3	3.0.10-2	-
	运行在以下环境
	应用	debian	phpbb3	3.0.11-1	-
	运行在以下环境
	应用	debian	phpbb3	3.0.11-2	-
	运行在以下环境
	应用	debian	phpbb3	3.0.2-1	-
	运行在以下环境
	应用	debian	phpbb3	3.0.2-2	-
	运行在以下环境
	应用	debian	phpbb3	3.0.2-3	-
	运行在以下环境
	应用	debian	phpbb3	3.0.2-4	-
	运行在以下环境
	应用	debian	phpbb3	3.0.4-1	-
	运行在以下环境
	应用	debian	phpbb3	3.0.7-p1-1	-
	运行在以下环境
	应用	debian	phpbb3	3.0.7-p1-2	-
	运行在以下环境
	应用	debian	phpbb3	3.0.7-p1-3	-
	运行在以下环境
	应用	debian	phpbb3	3.0.7-p1-4	-
	运行在以下环境
	应用	debian	phpbb3	3.0.7-p1-5	-
	运行在以下环境
	应用	debian	phpbb3	3.0.9-1	-
	运行在以下环境
	系统	ubuntu_14.04.6_lts	phpbb3	*		Up to (excluding) 3.0.11-5
	运行在以下环境
	系统	ubuntu_16.04.7_lts	phpbb3	*		Up to (excluding) 3.0.11-5

阿里云评分 2.3

• 攻击路径 本地
• 攻击复杂度 困难
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 -

CWE-ID	漏洞类型
CWE-264	权限、特权和访问控制

Exp相关链接

- avd.aliyun.com