CH azonosító
CH-6597Angol cím
vBulletin vbShout Module Cross-Site Scripting and Script Insertion VulnerabilitiesFelfedezés dátuma
2012.03.26.Súlyosság
AlacsonyÉrintett rendszerek
Jelsoft EnterprisesvBShout module
vBulletin
Érintett verziók
vBShout (vBulletin modul) 6.x
Összefoglaló
A vBulletin vBShout modul olyan sérülékenységei váltak ismertté, amelyeket a rosszindulatú felhasználók kihasználhatnak script beszúrás támadások kezdeményezésére, valamint a támadók cross-site scripting (XSS/CSS) támadások kezdeményezésére.
Leírás
- Bizonyos üzenet (message) paramétereken keresztül átadott bemeneti adat, amikor egy archív kerül megtekintésre, nincs megfelelően ellenőrizve a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
A sérülékenységet a 6.0.4. megelőző verziókban ismerték fel. - A Shout Reports-ban a “reportreason” és “modnotes” paraméterekkel átadott bemeneti adat nem kerül megfelelően ellenőrzésre, mielőtt felhasználásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
A sérülékenységet a 6.0.6. megelőző verziókban ismerték fel.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 48519
Egyéb referencia: www.dragonbyte-tech.com
Egyéb referencia: www.dragonbyte-tech.com
Egyéb referencia: packetstormsecurity.org