Security Lab

Межсайтовый скриптинг в vBulletin

Дата публикации:21.10.2002
Всего просмотров:2549
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: vBulletin 2.x
Описание: vBulletin - BBS система от Jelsoft Enterprises.

vBulletin не фильтрует HTML тэги в URL параметрах, в результате чего, он становится уязвим к межсайтовому скриптингу. Атакующий может сконструировать специальную ссылку, содержащую произвольный код сценария, который буде выполнена в браузере vBulletin пользователя, в контексте уязвимого сайта. Пример:

http://<victim>/usercp.php?s=[Session ID]">
<Script>alert(document.cookie);</Script>
уязвимость обнаружена в VBulletin 2.0-2.2.8
Ссылки: vBulletin XSS Security Bug