vBulletin vBExperience Module “sortorder” és “sort” cross-site scripting sérülékenységei

2011. június 7. 07:02

CH azonosító

CH-5000

Angol cím

vBulletin vBExperience Module "sortorder" and "sort" Cross-Site Scripting Vulnerabilities

Felfedezés dátuma

2011.06.06.

Súlyosság

Alacsony

Érintett rendszerek

Jelsoft Enterprises
vBExperience module
vBulletin

Érintett verziók

vBExperience 3.x (vBulletin modul)

Összefoglaló

A vBulletin vBExperience moduljának két sérülékenységét jelentették, amelyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások indítására.

Leírás

Az xperience.php “sortorder” paraméterének átadott bemeneti adat nincs megfelelően ellenőrizve, mielőtt visszaadnák a felhasználónak. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.
Az xperience.php “sort” paraméterének átadott bemeneti adat nincs megfelelően ellenőrizve, mielőtt visszaadnák a felhasználónak (ha a “go” beállított értéke “ranking). Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatosan.

vBulletin vBExperience Module “sortorder” és “sort” cross-site scripting sérülékenységei

vBulletin vBExperience Module “sortorder” és “sort” cross-site scripting sérülékenységei

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Összefoglaló

Leírás

Megoldás

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Figyelmeztetések

Legfrissebb sérülékenységek

vBulletin vBExperience Module “sortorder” és “sort” cross-site scripting sérülékenységei

vBulletin vBExperience Module “sortorder” és “sort” cross-site scripting sérülékenységei

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Összefoglaló

Leírás

Megoldás

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Figyelmeztetések

Legfrissebb sérülékenységek

Pin It on Pinterest