iDEFENSE сообщает об уязвимости в популярном ПО для организации форумов phpBB, которая позволяет удаленному пользователю раскрыть содержание и удалять (unlink) произвольные файлы на системе с привилегиями Web-сервера. Уязвимость в phpBB обнаружена в нескольких сценариях, отвечающих за обработку "аватаров" (usercp_avatar.php, usercp_viewprofile.php и usercp_register.php) и позволяет удаленному пользователю контролировать параметры, переданные функции unlink().
Подробности