Érintett rendszerek
Jelsoft EnterprisesTwo-Step External Links module
Érintett verziók
Jelsoft Enterprises Two-Step External Links module 1.x
Összefoglaló
A vBulletin Two-Step External Links moduljának olyan sérülékenysége vált ismertté, melyet kihasználva támadók cross-site scripting támadásokat tudnak végrehajtani.
Leírás
A vBulletin Two-Step External Links moduljának olyan sérülékenysége vált ismertté, melyet kihasználva támadók cross-site scripting támadásokat tudnak végrehajtani.
A “url” paraméterrel az externalredirect.php-nak átadott bemenet nincs megfelelően megtisztítva mielőtt visszakerül a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
Megoldás
Javítsa a forráskódot a bemenet megfelelő ellenőrzése érdekébenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)