Межсайтовый скриптинг при обработке utf-7 кодировки в различных форумах

Уязвимые версии: vBulletin, Invision Power Board, Phorum, Web Wiz и другие форумы

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

Уязвимость существует при установленном автоматическом выборе кодировки в браузере. Удаленный пользователь может обойти правила фильтрации потенциально опасных символов в различных форумах, сохранив злонамеренный HTML код в кодировке utf-7 и выполнить его в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

<title>vBulletin Community Forum - +ADw-/title+AD4APA-script+AD4-alert(document.cookie)+ADsAPA-/script+AD4-</title>

Решение: Способов устранения уязвимости не существует в настоящее время.