vBulletin vBQuiz Module “quiz_name” script beszúrás sérülékenység

CH azonosító

CH-6599

Angol cím

vBulletin vBQuiz Module "quiz_name" Script Insertion Vulnerability

Felfedezés dátuma

2012.03.26.

Súlyosság

Alacsony

Érintett rendszerek

Jelsoft Enterprises
vBQuiz (module for vBulletin)
vBulletin

Érintett verziók

vBQuiz (vBulletin modul) 1.x

Összefoglaló

A vBulletin vvBQuiz modul olyan sérülékenysége vált ismertté, amelyet rosszindulatú felhasználók kihasználhatnak script beszúrásos (script insertion) támadások kezdeményezésére.

Leírás

A dbtech/vbquiz/includes/class_profileblock.php részére a “quiz_name” paraméteren keresztül átadott bemeneti adat nem kerül megfelelően ellenőrzésre, mielőtt felhasználásra kerülne. EEz kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan, amikor egy rosszindulatú adat megtekintésre kerül.

Megoldás

Frissítsen a legújabb verzióra