Vulnerabilidad de seguridad en algunos BBCodes

[ThE KuKa]

Hola.

Según comenta Stoker, al introducir {TEXT} dentro de las etiquetas HTML hacemos vulnerable a nuestros foros phpBB3, con lo cual se recomienda y MUCHO revisar todos los BBCodes instalados en nuestros foros, y cambiar {TEXT} por {SIMPLETEXT} o {IDENTIFIER} según nos interese o convenga.

Tener en cuenta que son solo vulnerables los que están dentro de etiquetas HTML, me explico con un ejemplo "vulnerable":

Código: Seleccionar todo

<div style="{TEXT1}">{TEXT2}</div>

En este código HTML {TEXT1} seria reemplazado por left, right o center (por ejemplo) pero alguien podría introducir cualquier otro código. Para lograr el mismo BBCode sin ser vulnerable, serviria ese código:

Código: Seleccionar todo

<div style="{SIMPLETEXT}">{TEXT2}</div>

Repito solo, los BBCodes que estan dentro de etiquetas HTML, otro ejemplo de código NO vulnerable es este:

Código: Seleccionar todo

<div style="center">{TEXT}</div>

¿Porque este {TEXT} no es vulnerable? Porque NO esta dentro de la etiqueta HTML, creo que esta mas o menos bien explicado, si aún así tenéis dudas, enviarlas a este foro por favor.

También hay un tema en phpBB (sitio oficial) que hablan sobre esto.

Fuente: Stoker en phpBB3BBCodes.COM

[Morph]

Ok Muchas gracias por el comunicado. Saludos.

[ThE KuKa]

Uno de los desarrolladores verifica que SI es vulnerable lo comentado por Stoker.
http://www.phpbb.com/community/viewtopi ... #p11933465

Repito, verificar los BBCodes de vuestros foros por favor.

En este tema podeis hablar sobre esta noticia, dudas, etc.