Показано с 1 по 4 из 4.

vBulletin "title" Script Insertion Vulnerability

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3710

    vBulletin "title" Script Insertion Vulnerability

    Secunia Advisory: SA25309 Release Date: 2007-05-17

    Critical: Less critical

    Impact: Cross Site Scripting

    Where: From remote

    Solution Status: Vendor Patch

    Software:vBulletin 3.x

    Description:
    laurent gaffié has reported a vulnerability in vBulletin, which can be exploited by malicious users to conduct script insertion attacks.

    Input passed to the "title" parameter in calendar.php is not properly sanitised before being used. This can be exploited to insert arbitrary HTML and script code, which will be executed in a user's browser session in context of an affected site when a user clicks on the "Request Reminder for this Event" link when viewing a calendar entry.

    Solution:
    Edit the source code to ensure that input is properly sanitised.

    Provided and/or discovered by:
    laurent gaffié

    secunia.com
    Left home for a few days and look what happens...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1697
    А перевод будет?

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1817
    Дырка в календаре, могут код воткнуть.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3710

    Межсайтовый скриптинг в vBulletin

    21 мая, 2007

    Программа: vBulletin 3.x

    Опасность: Низкая

    Наличие эксплоита: Нет

    Описание:
    Уязвимость позволяет удаленному пользователю произвести XSS нападение.
    Уязвимость существует из-за недостаточной обработки входных данных в параметре "title" в сценарии calendar.php. Удаленный пользователь может выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

    URL производителя: www.vbulletin.com

    Решение: Способов устранения уязвимости не существует в настоящее время.

    securitylab.ru
    Left home for a few days and look what happens...

Похожие темы

  1. Kaspersky Anti-Virus "klif.sys" Denial of Service Vulnerability
    От HATTIFNATTOR в разделе Уязвимости
    Ответов: 10
    Последнее сообщение: 16.06.2006, 18:00
  2. Internet Explorer "object" Tag Memory Corruption Vulnerability
    От Shu_b в разделе Уязвимости
    Ответов: 1
    Последнее сообщение: 05.05.2006, 07:00

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00775 seconds with 16 queries