CH azonosító
CH-7544Angol cím
vBulletin vBShout Module "from" and "end" Cross-Site Scripting VulnerabilitiesFelfedezés dátuma
2012.09.10.Súlyosság
AlacsonyÉrintett rendszerek
Jelsoft EnterprisesvBShout module
vBulletin
Érintett verziók
vBShout (vBulletin modul) 6.x
Összefoglaló
A vBulletin vBShout modul olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások kezdeményezésére.
Leírás
A “from” és “to” paraméterekkel a dbtech/vbshout/actions/archive.php részére átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt a felhasználó részére visszaküldésre kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.
A sérülékenységet a 6.0.8 verzióban ismerték fel, de más kiadások is érintettek lehetnek.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.dragonbyte-tech.com
SECUNIA 50565