S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 09 mars 2010
N^o CERTA-2010-AVI-113

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Vulnérabilité dans phpBB

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-113

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2010-AVI-113
Titre	Vulnérabilité dans phpBB
Date de la première version	09 mars 2010
Date de la dernière version	-
Source(s)	Annonce de la version 3.0.7-PL1 de phpBB du 05 mars 2010
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Contournement de la politique de sécurité ;
atteinte à la confidentialité des données.

2 Systèmes affectés

phpBB version 3.0.7.

3 Résumé

Une vulnérabilité dans phpBB permet de contourner les restrictions de lecture de certains messages.

4 Description

Une vulnérabilité a été découverte dans phpBB. Si la fonctionnalité feeds, apparue dans la version 3.0.7 de ce logiciel, est activée, alors il est possible pour certains utilisateurs de lire des messages pour lesquels ils n'ont théoriquement pas de droits de lecture (cela concerne notamment l'utilisateur invité).

5 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

Annonce de la version 3.0.7-PL1 de phpBB du 05 mars 2010 :

http://www.phpbb.com/community/viewtopic.php?f=14&t=2014195

Gestion détaillée du document

09 mars 2010: version initiale.

CERTA
2012-01-04