El conocido software escrito en PHP para creación de foros en Internet es vulnerable a ataques de Cross Site Scripting (XSS).El equipo de vBulletin ha publicado un informe (https://www.vbulletin.com/forum/showthread.php/398716-vBulletin-Security-Patch-for-vBulletin-4-1-4-4-1-11-for-Suite-amp-Forum-03-23-2012) anunciando tres vulnerabilidades
Cross Site Scripting. Se deben a errores de filtrado en determinados parámetros de entrada, que no han sido especificados, en los archivos siguientes:
- includes/version_vbulletin.php
- clientscript/ckeplugins/bbcode/plugin.js
- clientscript/ckeditor/ckeditor.js
Estas vulnerabilidades podrían ser explotadas por un atacante remoto para ejecutar código HTML o javascript arbitrario en el navegador de un usuario que visite una página web maliciosa, bajo el contexto de la web atacada.
Las versiones que se ven afectadas por estas vulnerabilidades son las comprendidas entre la 4.1.4 y la 4.1.11 tanto en la modalidad 'Forum' como 'Publishig Suite'. Según el equipo de vBulletin, las versiones 4.1.3 y anteriores no se ven afectadas, y tampoco la rama 3.x.
vBulletin ha publicado un
parche que corrige estas vulnerabilidades. Se encuentra disponible para su descarga (http://members.vbulletin.com/) desde la página oficial.
Más información:vBulletin Security Patch for vBulletin 4.1.4 -4.1.11 for Suite & Forum https://www.vbulletin.com/forum/showthread.php/398716-vBulletin-Security-Patch-for-vBulletin-4-1-4-4-1-11-for-Suite-amp-Forum-03-23-2012 (https://www.vbulletin.com/forum/showthread.php/398716-vBulletin-Security-Patch-for-vBulletin-4-1-4-4-1-11-for-Suite-amp-Forum-03-23-2012)
vBulletin patch download http://members.vbulletin.com/ (http://members.vbulletin.com/)
FUENTE :http://www.laflecha.net/canales/seguridad/noticias/cross-site-scripting-en-vbulletin-41x
La mayoría de plataformas lo son.
SMF, cPanel, Plesk, etc...