domingo, 8 de abril de 2012

Cross site scripting en vBulletin 4.1.x


El conocido software escrito en PHP para creación de foros en Internet es vulnerable a ataques de Cross Site Scripting (XSS).

El equipo de vBulletin ha publicado un informe anunciando tres vulnerabilidades Cross Site Scripting. Se deben a errores de filtrado en determinados parámetros de entrada, que no han sido especificados, en los archivos siguientes:

  • includes/version_vbulletin.php
  • clientscript/ckeplugins/bbcode/plugin.js
  • clientscript/ckeditor/ckeditor.js

Estas vulnerabilidades podrían ser explotadas por un atacante remoto para ejecutar código HTML o JavaScript arbitrario en el navegador de un usuario que visite una página web maliciosa, bajo el contexto de la web atacada.

Las versiones que se ven afectadas por estas vulnerabilidades son las comprendidas entre la 4.1.4 y la 4.1.11 tanto en la modalidad 'Forum' como 'Publishig Suite'. Según el equipo de vBulletin, las versiones 4.1.3 y anteriores no se ven afectadas, y tampoco la rama 3.x.

vBulletin ha publicado un parche que corrige estas vulnerabilidades. Se encuentra disponible para su descarga desde la página oficial.

Más información:

vBulletin Security Patch for vBulletin 4.1.4 - 4.1.11 for Suite & Forum
https://www.vbulletin.com/forum/showthread.php/398716-vBulletin-Security-Patch-for-vBulletin-4-1-4-4-1-11-for-Suite-amp-Forum-03-23-2012

vBulletin patch download
http://members.vbulletin.com/


Juan José Ruiz
jruiz@hispasec.com


Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017