CH azonosító
CH-6602Angol cím
vBulletin vbShout Module "message" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2012.03.26.Súlyosság
AlacsonyÉrintett rendszerek
Jelsoft EnterprisesvBShout module
vBulletin
Érintett verziók
vBShout (vBulletin modul) 6.x
Összefoglaló
A vBulletin vBShout modul sérülékenységét jelentették, amelyet a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások indítására.
Leírás
A vbshout.php-ben “message” paraméter részére átadott bemeneti adat nincs megfelelően ellenőrizve (ha a “do” beállított értéke “archive” és az “instanceid” érvényes), a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
Ezt a sérülékenységet a 6.0.7 verziónál korábbiakban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.dragonbyte-tech.com
Egyéb referencia: packetstormsecurity.org
SECUNIA 48531
