vBulletin MCP Cross-Site Scripting sérülékenysége

CH azonosító

CH-1335

Felfedezés dátuma

2008.06.19.

Súlyosság

Közepes

Érintett rendszerek

Jelsoft Enterprises
vBulletin

Érintett verziók

Jelsoft Enterprises vBulletin 3.X

Összefoglaló

A vBulletin egy olyan sérülékenységét jelentették, melyet a támadók kihasználhatnak
cross-site scripting támadások lefolytatására.

Leírás

A vBulletin egy olyan sérülékenységét jelentették, melyet a támadók kihasználhatnak
cross-site scripting támadások lefolytatására.

A modcp/index.php “redirect” paraméterének átadott bemenet nincs megfelelően ellenőrizve, mielőtt a felhasználóhoz visszakerülne.
Ez kiaknázható tetszőleges HTML és script kódok lefuttatásra, mialatt a felhasználó az
érintett oldalt böngészővel megtekinti.

Megjegyzés: A jelentések szerint ezt fel lehet használni az érintett rendszerbe történő
tetszőleges PHP kód befecskendezésére és futtatására is, bár ennek feltétele, hogy az
adminisztrátor be legyen jelentkezve, vagy a bejelentkezés egy speciálisan elkészített
linkkel történjen.

A sérülékenységet a 3.7.1 PL1, 3.6.10 PL1, és korábbi 3.x verziókban
jelentették.

Megoldás

Frissítsen a legújabb verzióra