Cross site scripting en vBulletin 4.1.x

Iniciado por wolfbcn, 11 Abril 2012, 02:30 AM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

El conocido software escrito en PHP para creación de foros en Internet es vulnerable a ataques de Cross Site Scripting (XSS).

El equipo de vBulletin ha publicado un informe anunciando tres vulnerabilidadesCross Site Scripting. Se deben a errores de filtrado en determinados parámetros de entrada, que no han sido especificados, en los archivos siguientes:


  • includes/version_vbulletin.php
  • clientscript/ckeplugins/bbcode/plugin.js
  • clientscript/ckeditor/ckeditor.js
Estas vulnerabilidades podrían ser explotadas por un atacante remoto para ejecutar código HTML o javascript arbitrario en el navegador de un usuario que visite una página web maliciosa, bajo el contexto de la web atacada.

Las versiones que se ven afectadas por estas vulnerabilidades son las comprendidas entre la 4.1.4 y la 4.1.11 tanto en la modalidad 'Forum' como 'Publishig Suite'. Según el equipo de vBulletin, las versiones 4.1.3 y anteriores no se ven afectadas, y tampoco la rama 3.x.

vBulletin ha publicado un parche que corrige estas vulnerabilidades. Se encuentra disponible para su descarga desde la página oficial.

Más información:

vBulletin Security Patch for vBulletin 4.1.4 -4.1.11 for Suite & Forum https://www.vbulletin.com/forum/showthread.php/398716-vBulletin-Security-Patch-for-vBulletin-4-1-4-4-1-11-for-Suite-amp-Forum-03-23-2012

vBulletin patch download http://members.vbulletin.com/

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/cross-site-scripting-en-vbulletin-41x
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

dimitrix

La mayoría de plataformas lo son.

SMF, cPanel, Plesk, etc...




WHK

La prueba de concepto:
[youtube=425,350]http://www.youtube.com/watch?feature=player_embedded&v=endyyK1rW4k[/youtube]

Se sabe que todos los sistemas webs tienen algun grado de falla de seguridad pero cuando la noticia es fresca es buena porque te permite testear en una multitud de foros aun no parchados.