CH azonosító
CH-3960Angol cím
vBulletin Profile Customization Script Insertion VulnerabilityFelfedezés dátuma
2010.11.17.Súlyosság
AlacsonyÖsszefoglaló
A vBulletin olyan sérülékenységét jelentették, melyet rosszindulatú felhasználók kihasználhatnak script beszúrásos támadásokra.
Leírás
A profile customization (jellemzők testreszabása) oldalnak átadott egyes bemenetek ellenőrzése nem megfelelő, mielőtt azokat a felhasználónak megjelenítenék. Ez kihasználható tetszőleges HTML és script kód beszúrására, ha a felhasználó az érintett oldalon megtekinti a káros tartalmat.
A sikeres kiaknázás feltétele, hogy profile customization (jellemzők testreszabása) engedélyezve legyen.
A sérülékenységet a 4.0.8. verzióban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.vbulletin.com
Gyártói referencia: www.vbulletin.com
Egyéb referencia: forum.intern0t.net
SECUNIA 42209