[Warning] Cross-Site-Scripting Schwachstelle in Forensoftware vBulletin

Stefan Lenzhofer lenzhofer at cert.at
Wed Jun 20 11:17:37 CEST 2012


         Cross-Site-Scripting Schwachstelle in Forensoftware vBulletin

   20. Juni 2012

   CERT.at ersucht um Beachtung der folgenden Meldung.

   Aufgrund der hohen Verbreitung der Forensoftware [1]vBulletin in
   Österreich haben wir uns entschlossen folgende Warnung herauszugeben.

Beschreibung

   In der Kalenderfunktion der Forensoftware [2]vBulletin, zumindest in
   der aktuellen Version 4.2.0, kann eine Cross-Site-Scripting (XSS)
   Schwachstelle ausgenutzt werden, die u.a. zum Stehlen von Cookies
   führen kann.

Auswirkungen

   Ein Angreifer könnte durch das Ausnutzen dieser Schwachstelle die
   Cookies eines angemeldeten Benutzers ausspähen und unter Umständen
   Administrationsrechte erlangen. Weitere Szenarien, wie z.B. das
   Umleiten auf speziell präparierte Webseiten, sind auch denkbar.

Abhilfe

   Die Entwickler haben bereits einen Patch([3]Patchseite, [4]Hinweis auf
   den Patch) veröffentlicht, der sich dieser Lücke annimmt.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   VBulletin Webseite
   [5]https://www.vbulletin.com/
   Patchseite VBulletin
   [6]https://members.vbulletin.com/patches.php
   Hinweis von VBulletin auf den Patch
   [7]https://www.vbulletin.com/forum/showthread.php/403211-vBulletin-Secu
   rity-Patch-for-vBulletin-4-2-%28Suite-amp-Forum%29-Only-06-18-2012?p=23
   06251#post2306251

References

   1. https://www.vbulletin.com/
   2. https://www.vbulletin.com/
   3. https://members.vbulletin.com/patches.php
   4.
https://www.vbulletin.com/forum/showthread.php/403211-vBulletin-Security-Patch-for-vBulletin-4-2-%28Suite-amp-Forum%29-only-06-18-2012?p=2306251#post2306251
   5. https://www.vbulletin.com/
   6. https://members.vbulletin.com/patches.php
   7.
https://www.vbulletin.com/forum/showthread.php/403211-vBulletin-Security-Patch-for-vBulletin-4-2-%28Suite-amp-Forum%29-Only-06-18-2012?p=2306251#post2306251




More information about the Warning mailing list