vBulletin vbShout modul cross-site scripting és script beszúrás sérülékenységek

CH azonosító

CH-6597

Angol cím

vBulletin vbShout Module Cross-Site Scripting and Script Insertion Vulnerabilities

Felfedezés dátuma

2012.03.26.

Súlyosság

Alacsony

Érintett rendszerek

Jelsoft Enterprises
vBShout module
vBulletin

Érintett verziók

vBShout (vBulletin modul) 6.x

Összefoglaló

A vBulletin vBShout modul olyan sérülékenységei váltak ismertté, amelyeket a rosszindulatú felhasználók kihasználhatnak script beszúrás támadások kezdeményezésére, valamint a támadók cross-site scripting (XSS/CSS) támadások kezdeményezésére.

Leírás

  1. Bizonyos üzenet (message) paramétereken keresztül átadott bemeneti adat, amikor egy archív kerül megtekintésre, nincs megfelelően ellenőrizve a felhasználónak történő visszaadás előtt. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
    A sérülékenységet a 6.0.4. megelőző verziókban ismerték fel.
  2. A Shout Reports-ban a “reportreason” és “modnotes” paraméterekkel átadott bemeneti adat nem kerül megfelelően ellenőrzésre, mielőtt felhasználásra kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
    A sérülékenységet a 6.0.6. megelőző verziókban ismerték fel.

Megoldás

Frissítsen a legújabb verzióra