CH azonosító
CH-6598Angol cím
vBulletin Forumon RPG Module "monster[title]" Script Insertion VulnerabilityFelfedezés dátuma
2012.03.26.Súlyosság
AlacsonyÉrintett rendszerek
Forumon RPG (module for vBulletin)Jelsoft Enterprises
vBulletin
Érintett verziók
Forumon RPG (vBulletin modul) 1.x
Összefoglaló
A vBulletin Forumon RPG modul olyan sérülékenysége vált ismertté, amelyet rosszindulatú felhasználók kihasználhatnak script beszúrásos (script insertion) támadások kezdeményezésére.
Leírás
A “monster[title]” paraméteren keresztül átadott bemeneti adat, amikor egy új monster létrehozása történik, nem kerül megfelelően ellenőrzésre, mielőtt felhasználásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan, amikor egy rosszindulatú adat megtekintésre kerül.
A sérülékenységet az 1.0.8. megelőző verziókban ismerték fel.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)