CVE-2019-16993 在 phpBB 中，includes/acp/acp_bbcodes.php 在「管理控制面板」的 BBCode 頁面上對 CSRF 權杖的驗證不正確。如果攻擊者在鎖定目標使用者之前，還成功擷取經過重新驗證的管理員的工作階段 Id，則可能會發動實際的 CSRF 攻擊。CVE-2019-13776 phpBB 透過利用 Remote Avatar 功能中的 CSRF 來竊取「管理控制面板」的工作階段 id。CSRF 權杖劫持導致儲存的 XSS。針對 Debian 8「Jessie」，這些問題已在 3.0.12-5~deb8u4 版本中修正。我們建議您升級 phpbb3 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

偵測

Debian DLA-1942-2：phpbb3 迴歸更新

high Nessus Plugin ID 129477

版本 1.8