Hallo, Gast! (Registrieren)

Letzte Ankündigung: MyBB 1.8.38 veröffentlicht (30.04.24)


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
Sicherheitsleck innerhalb mybb
#1
Wenn über das User Profil sämtliche Beiträge eines Users angezeigt werden, kann über diesen Umweg ein gesperrter Bereich betreten werden und somit auch die Beiträge !!!

Wie kann man dieses Leck stopfen, da dadurch doch sensible Daten über Umwege sichtbar sind.
Cream1974 ( http://www.SWINGERinside.de )

Pensa, parla e agisci come se tu dovessi uscire dalla vita da un momento all'altro.
(Denke, rede und handle, als ob du von einem Moment auf den anderen aus dem Leben scheiden müßtest.)
Marco Aurelio
#2
Ich vermute, dass da Forenrechte falsch oder ungenügend gesetzt sind; im Normalfall sollte das eigentlich nicht möglich sein (sofern ich den Begriff "gesperrter Bereich" richtig verstehe).

Evtl. hilft es auch, die Caches "usergroups" und "forumpermissions" im Cache-Manager des Admin-CP zu erneuern.
 
The User, Formerly Known As "En-Gedi"
 
#3
Richtig, Forenrechte sind gesetzt.

Normalerweise können auch nur Moderatoren und Administratoren diesen Bereich sehen.

Geht man jedoch auf das Profil eines Moderators oder Administrators und lässt sich dann alle Beiträge anzeigen, werden diese aufgelistet und man kann über dieses Hintertürchen in den geschützten Bereich gelangen bzw. direkt die Beiträge lesen.
Cream1974 ( http://www.SWINGERinside.de )

Pensa, parla e agisci come se tu dovessi uscire dalla vita da un momento all'altro.
(Denke, rede und handle, als ob du von einem Moment auf den anderen aus dem Leben scheiden müßtest.)
Marco Aurelio
#4
Benutzt du sekundäre Gruppen oder die Foren-Berechtigungen "nicht lesen" und "sehen"?
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
#5
Ja, zum Teil werden sekundäre Gruppen verwendet.

Jedoch sind die normalen User nur in der primären Gruppe "ungeprüfte Mitglieder" und können dementsprechend nicht alle Forengebiete sehen. Das ist also wie das Beispiel, dass der normale User das Admin-ACP nicht sehen kann.

Sämtliche Foren sind also dementsprechend so eingestellt, dass die Beitragserstellung wie auch die Ansicht erst freigegeben wird, sobald die Primäre Gruppe manuell auf "Geprüftes Mitglied" gestellt wird.

Wenn du willst, dann können wir ja mal einen Termin ausmachen, wo du es dir direkt in der Adminkonsole anschauen kannst.


Nachtrag:
Ich habe den Fehler gefunden. Es lag an den Forenberechtigungseinstellungen. Da war noch ein Hacken in dieser Gruppe drin.
Cream1974 ( http://www.SWINGERinside.de )

Pensa, parla e agisci come se tu dovessi uscire dalla vita da un momento all'altro.
(Denke, rede und handle, als ob du von einem Moment auf den anderen aus dem Leben scheiden müßtest.)
Marco Aurelio


Möglicherweise verwandte Themen…
Thema Verfasser Antworten Ansichten Letzter Beitrag
  Sicherheitsleck, womöglich Bug Chemist 7 2.786 27.07.2008, 22:48
Letzter Beitrag: Michael
  Doppelte Einträge innerhalb der Foreneinstellungen whitewolf 3 1.964 17.12.2006, 17:04
Letzter Beitrag: whitewolf
  [Gelöst]<textarea> Innerhalb einer <textarea> nutzten, aber wie? Jan 2 1.531 25.07.2006, 21:48
Letzter Beitrag: Jan
  Board innerhalb der Homepage Susanne 9 3.352 29.03.2006, 12:06
Letzter Beitrag: Susanne