|
Scris de Cristian Mezei
|
|
luni, 09 ianuarie 2006 |
|
S-a raportat o vulnerabilitate în vBulletin ce poate fi exploatată pentru a lansa atacuri de tip script insertion.
Vulnerabilitatea este cauzată de verificarea necorespunzătoare a
datelor de intrare furnizate prin intermediul câmpului title din
scriptul calendar.php când se adaugă un eveniment de tip Single, All
Day, Ranged sau Recurring. Aceasta poate fi exploatată pentru a injecta
cod arbitrar HTML şi script ce va fi executat în sesiunea de browser a
utilizatorului la vizitarea unui sit afectat, când acesta vizualizează
datele atacatorului prin intermediul funcţiei Add Reminder.
Versiuni
afectate: vBulletin 3.x. Nu se cunosc încă soluţii lansate de
producător. Este recomandată editarea codului sursă pentru a se asigura
filtrarea corespunzătoare a datelor de intrare.
Sursa: Agora
Doar utilizatorii inregistrati pot scrie comentarii.
Va rugam autentificati-va sau creeati-va un cont. |
