phpBB, XSS

Pokud je v aplikaci phpBB 2.0.18 povoleno zobrazování HTML kódu v diskuzních příspěvcích (volba „Allow HTML”), může toho případný útočník zneužít k vykonání Cross Site Scriptingu nebo k zobrazení celé cesty ke skriptu „admin/admin_disallow.php” (je-li zapnutá volba „register_globals”). Aktualizace ještě nebyla zveřejněna, doporučuje se, prozatím, vypnout zobrazování HTML kódu v příspěvcích. V původním oznámení naleznete také exploit.