CH azonosító
CH-6600Angol cím
vBulletin vBDownloads Module "mirrors[]" Script Insertion VulnerabilityFelfedezés dátuma
2012.03.26.Súlyosság
AlacsonyÉrintett rendszerek
Jelsoft EnterprisesvBDownloads (module for vBulletin)
vBulletin
Érintett verziók
vBDownloads (vBulletin modul) 1.x
Összefoglaló
A vBulletin vBDownloads modul olyan sérülékenysége vált ismertté, amelyet rosszindulatú felhasználók kihasználhatnak script beszúrásos (script insertion) támadások kezdeményezésére.
Leírás
A dbtech/downloads/actions/editdownload.php részére a “mirrors[]” paraméteren keresztül átadott bemeneti adat nem kerül megfelelően ellenőrzésre, mielőtt felhasználásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan, amikor egy rosszindulatú adat megtekintésre kerül.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 48522
Egyéb referencia: www.dragonbyte-tech.com