Межсайтовый скриптинг в vBulletin

Дата публикации:
21.10.2002
Всего просмотров:
2280
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
vBulletin 2.x
Описание: vBulletin - BBS система от Jelsoft Enterprises.

vBulletin не фильтрует HTML тэги в URL параметрах, в результате чего, он становится уязвим к межсайтовому скриптингу. Атакующий может сконструировать специальную ссылку, содержащую произвольный код сценария, который буде выполнена в браузере vBulletin пользователя, в контексте уязвимого сайта. Пример:

http://<victim>/usercp.php?s=[Session ID]">
<Script>alert(document.cookie);</Script>
уязвимость обнаружена в VBulletin 2.0-2.2.8

Ссылки: vBulletin XSS Security Bug
или введите имя

CAPTCHA