vBulletin MCP Cross-Site Scripting sérülékenysége


2008. június 19. 22:00

CH azonosító

CH-1335

Felfedezés dátuma

2008.06.19.

Súlyosság

Közepes

Érintett rendszerek

Jelsoft Enterprises
vBulletin

Érintett verziók

Jelsoft Enterprises vBulletin 3.X

Összefoglaló

A vBulletin egy olyan sérülékenységét jelentették, melyet a támadók kihasználhatnak
cross-site scripting támadások lefolytatására.

Leírás

A vBulletin egy olyan sérülékenységét jelentették, melyet a támadók kihasználhatnak
cross-site scripting támadások lefolytatására.

A modcp/index.php “redirect” paraméterének átadott bemenet nincs megfelelően ellenőrizve, mielőtt a felhasználóhoz visszakerülne.
Ez kiaknázható tetszőleges HTML és script kódok lefuttatásra, mialatt a felhasználó az
érintett oldalt böngészővel megtekinti.

Megjegyzés: A jelentések szerint ezt fel lehet használni az érintett rendszerbe történő
tetszőleges PHP kód befecskendezésére és futtatására is, bár ennek feltétele, hogy az
adminisztrátor be legyen jelentkezve, vagy a bejelentkezés egy speciálisan elkészített
linkkel történjen.

A sérülékenységet a 3.7.1 PL1, 3.6.10 PL1, és korábbi 3.x verziókban
jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: seclists.org
Egyéb referencia: www.vbulletin.com
SECUNIA 30755

Legfrissebb sérülékenységek
CVE-2025-64471 – Fortinet FortiWeb sérülékenysége
CVE-2025-59808 – Fortinet FortiSOAR sérülékenysége
CVE-2025-59719 – Fortinet FortiWeb sérülékenysége
CVE-2025-59718 – Fortinet sérülékenysége
CVE-2025-10573 – Ivanti EPM XSS sérülékenysége
CVE-2025-54100 – PowerShell Remote Code Execution sérülékenység
CVE-2025-64671 – GitHub Copilot for Jetbrains Remote Code Execution sérülékenység
CVE-2025-62221 – Microsoft Windows Use After Free sérülékenység
CVE-2025-55754 – Apache Tomcat sérülékenysége
CVE-2025-42880 – SAP Solution Manager Code Injection sérülékenység
Tovább a sérülékenységekhez »