-
vBulletin "title" Script Insertion Vulnerability
Secunia Advisory: SA25309 Release Date: 2007-05-17
Critical: Less critical
Impact: Cross Site Scripting
Where: From remote
Solution Status: Vendor Patch
Software:vBulletin 3.x
Description:
laurent gaffié has reported a vulnerability in vBulletin, which can be exploited by malicious users to conduct script insertion attacks.
Input passed to the "title" parameter in calendar.php is not properly sanitised before being used. This can be exploited to insert arbitrary HTML and script code, which will be executed in a user's browser session in context of an affected site when a user clicks on the "Request Reminder for this Event" link when viewing a calendar entry.
Solution:
Edit the source code to ensure that input is properly sanitised.
Provided and/or discovered by:
laurent gaffié
secunia.com
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Дырка в календаре, могут код воткнуть.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Межсайтовый скриптинг в vBulletin
21 мая, 2007
Программа: vBulletin 3.x
Опасность: Низкая
Наличие эксплоита: Нет
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной обработки входных данных в параметре "title" в сценарии calendar.php. Удаленный пользователь может выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
URL производителя: www.vbulletin.com
Решение: Способов устранения уязвимости не существует в настоящее время.
securitylab.ru
Left home for a few days and look what happens...
-