CH azonosító
CH-6599Angol cím
vBulletin vBQuiz Module "quiz_name" Script Insertion VulnerabilityFelfedezés dátuma
2012.03.26.Súlyosság
AlacsonyÉrintett rendszerek
Jelsoft EnterprisesvBQuiz (module for vBulletin)
vBulletin
Érintett verziók
vBQuiz (vBulletin modul) 1.x
Összefoglaló
A vBulletin vvBQuiz modul olyan sérülékenysége vált ismertté, amelyet rosszindulatú felhasználók kihasználhatnak script beszúrásos (script insertion) támadások kezdeményezésére.
Leírás
A dbtech/vbquiz/includes/class_profileblock.php részére a „quiz_name” paraméteren keresztül átadott bemeneti adat nem kerül megfelelően ellenőrzésre, mielőtt felhasználásra kerülne. EEz kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan, amikor egy rosszindulatú adat megtekintésre kerül.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 48521
Egyéb referencia: www.dragonbyte-tech.com