CH azonosító
CH-6669Angol cím
vBulletin Two Script Insertion VulnerabilitiesFelfedezés dátuma
2012.04.06.Súlyosság
KözepesÖsszefoglaló
A vBulletin két olyan sérülékenységét jelentették, amelyeket a támadók kihasználhatnak script beszúrásos (script insertion) támadások indítására.
Leírás
A clientscript/ckeplugins/bbcode/plugin.js és a clientscript/ckeditor/ckeditor.js -ben egyes részletesen nem ismertetett bemeneti adatok felhasználás előtt nincsenek megfelelően ellenőrizve. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan, a káros adat megtekintésekor.
A sérülékenység az alábbi elérhetőségen ismertetett sérülékenységgel kapcsolatos:
CERT-Hungary CH-6595
A sérülékenységeket a 4.1.4 – 4.1.11 közötti verziókban jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.vbulletin.com
SECUNIA 48541
CERT-Hungary CH-6595