[Warning] Cross-Site-Scripting Schwachstelle in Forensoftware vBulletin
Stefan Lenzhofer
lenzhofer at cert.at
Wed Jun 20 11:17:37 CEST 2012
Cross-Site-Scripting Schwachstelle in Forensoftware vBulletin
20. Juni 2012
CERT.at ersucht um Beachtung der folgenden Meldung.
Aufgrund der hohen Verbreitung der Forensoftware [1]vBulletin in
Österreich haben wir uns entschlossen folgende Warnung herauszugeben.
Beschreibung
In der Kalenderfunktion der Forensoftware [2]vBulletin, zumindest in
der aktuellen Version 4.2.0, kann eine Cross-Site-Scripting (XSS)
Schwachstelle ausgenutzt werden, die u.a. zum Stehlen von Cookies
führen kann.
Auswirkungen
Ein Angreifer könnte durch das Ausnutzen dieser Schwachstelle die
Cookies eines angemeldeten Benutzers ausspähen und unter Umständen
Administrationsrechte erlangen. Weitere Szenarien, wie z.B. das
Umleiten auf speziell präparierte Webseiten, sind auch denkbar.
Abhilfe
Die Entwickler haben bereits einen Patch([3]Patchseite, [4]Hinweis auf
den Patch) veröffentlicht, der sich dieser Lücke annimmt.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
VBulletin Webseite
[5]https://www.vbulletin.com/
Patchseite VBulletin
[6]https://members.vbulletin.com/patches.php
Hinweis von VBulletin auf den Patch
[7]https://www.vbulletin.com/forum/showthread.php/403211-vBulletin-Secu
rity-Patch-for-vBulletin-4-2-%28Suite-amp-Forum%29-Only-06-18-2012?p=23
06251#post2306251
References
1. https://www.vbulletin.com/
2. https://www.vbulletin.com/
3. https://members.vbulletin.com/patches.php
4.
https://www.vbulletin.com/forum/showthread.php/403211-vBulletin-Security-Patch-for-vBulletin-4-2-%28Suite-amp-Forum%29-only-06-18-2012?p=2306251#post2306251
5. https://www.vbulletin.com/
6. https://members.vbulletin.com/patches.php
7.
https://www.vbulletin.com/forum/showthread.php/403211-vBulletin-Security-Patch-for-vBulletin-4-2-%28Suite-amp-Forum%29-Only-06-18-2012?p=2306251#post2306251
More information about the Warning
mailing list