Получение админ пароля на 2.1.5

[latitude]

Зарание прошу прощения если тема была, поиском пользовался !

Нашел, что у многих были письма с восстановлением админских паролей.

Из заплаток нашел исправления для невозможности восстановления пароля, но это ведь не выход.

Админский пароль был получен, что видно по логам захода на форум, в саму админку злоумышленик не попал не попал из-за хтакцесса, видимо.

Укажите на описание уязвимости связаной с восстановлением админ пароля ?

Весьма благодарен, и простите за невнимательность если таки тема была.

[Song]

IP.Board 2.0.0—2.1.7: Замечание по безопасности

[latitude]

Song, отладчик 100%-но отключен, я слежу за уязвимости в IPB и проверил и тогда и сейчас этот вариант, все отключено, однако пароль админа был получен.

До этого была попытка восстановления, потому и вопрос возник.

[Song]

Если была попытка восстановления и потом пароль был утащен, значит на то время отладка была включена.

[latitude]

Song, никогда не пользовался отладкой, т.е. не включал ее.

Пароль не знаю был ли утащен, так как id=1 пользователем (админом) я не пользуюсь, он просто создан, а тут я заметил в списках онлайна, что admin (id=1) был на форуме.

[Song]

а что вы называете "включить её" ?

[latitude]

Enable SQL debug:

YES or NO

Включить - yes !

[Song]

Есть ещё одна настройка, т.н. "отладочные сообщения".

[latitude]

Тот, что debug level ? "0" всегда стоял там.

[Song]

А вы единственный админ на форуме?

Других лазеек я не знаю.

[latitude]

Song, единственный.

Возможно как-то иначе увели пароль, однако, как я уже говорил, пару дней назад пришло письмо с восстановлением пароля.

Письмо было 20-го мая, ИП-89.180.9.199, посещение сегодня 1-го июня.

[Song]

Ну значит остаётся только SQL-injection

Потому что при наличии оного это также несложно сделать.

[latitude]

Хех, буду думать

И ставить какую-то програмку для логирования.

На всяк случай IP и админский экк забанил.