正文

Vbulletin 跨站脚本攻击漏洞

admin
admin V管理员 /0 评论 /11 阅读
0104
此篇文章发布距今已超过1224天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Vbulletin 跨站脚本攻击漏洞

  • CNNVD编号:CNNVD-200808-299
    • <!--
  • 危害等级: 中危-->
  • 危害等级: 中危
  • CVE编号: CVE-2008-3773
  • 漏洞类型: 跨站脚本
  • 发布时间: 2008-08-22
  • 威胁类型: 远程
  • 更新时间: 2009-01-29
  • 厂        商: vbulletin
  • 漏洞来源: Federico Muttis

漏洞简介

vBulletin是一款功能强大的论坛系统。

vBulletin 3.7.2 PL1和3.6.10PL3版本中存在跨站脚本攻击漏洞。

在上述版本中,如果启用了Show New Private Message Notification Pop-Up选项,由于没有正确地过滤私密消息的输入便执行了存储,远程攻击这可利用此漏洞注入任意HTML和脚本代码,实现跨站攻击。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

http://www.vbulletin.com/forum/showthread.php?282133-vBulletin-3-7-2-PL2-and-3-6-10-PL4-Released

参考网址

来源: Vbulletin

链接:http://www.vbulletin.com/forum/showthread.php?t=282133

来源: MISC

链接:http://www.coresecurity.com/content/vbulletin-cross-site-scripting-vulnerability

来源: BUGTRAQ

名称: 20080820 CORE-2008-0813 - vBulletin Cross Site Scripting Vulnerability

链接:http://marc.info/?l=bugtraq&m=121933258013788&w=2

来源: XF

名称: vbulletin-message-xss(44576)

链接:http://xforce.iss.net/xforce/xfdb/44576

来源: SECTRACK

名称: 1020727

链接:http://www.securitytracker.com/id?1020727

来源: BID

名称: 30777

链接:http://www.securityfocus.com/bid/30777

来源: SREASON

名称: 4182

链接:http://securityreason.com/securityalert/4182

来源: SECUNIA

名称: 31552

链接:http://secunia.com/advisories/31552

受影响实体

  • Vbulletin Vbulletin:3.6.10:Pl3  
    <!--
    2000-1-1
    -->
  • Vbulletin Vbulletin:3.7.2:Pl1  
    <!--
    2000-1-1
    -->

补丁

    暂无