Miembros de
Boletines de Vulnerabilidades |
Vulnerabilidad cross-site scripting en Vbulletin 4.1.x |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Exotic Software |
| Software afectado | vBulletin de la versión 4.1.4 a la versión 4.1.11 |
Descripción |
|
|
Se han descubierto tres vulnerabilidades de tipo cross site scripting en vBulletin en las versiones 4.1.4 hasta la 4.1.11. Estas vulnerabilidades son debidas a errores de filtrado en determinados parámetros de entrada no especificados en los archivos includes/version_vbulletin.php, clientscript/ckeplugins/bbcode/plugin.js y clientscript/ckeditor/ckeditor.js. Un atacante remoto podría aprovechar estas vulnerabilidades para ejecutar código HTML o JavaScript arbitrario en el navegador de un usuario que visite una página web maliciosa, bajo el contexto de la web atacada. |
|
Solución |
|
| vBulletin ha publicado un parche que corrige estas vulnerabilidades. Se encuentra disponible para su descarga desde la página oficial. | |
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | |
| BID | |
Recursos adicionales |
|
|
vBulletin Security Patch for vBulletin 4.1.4 - 4.1.11 for Suite & Forum - 03/23/2012 https://www.vbulletin.com/forum/showthread.php/398716-vBulletin-Security-Patch-for-vBulletin-4-1-4-4-1-11-for-Suite-amp-Forum-03-23-2012 Cross-site scripting in vBulletin 4.1.x VBIV-14598 http://tracker.vbulletin.com/browse/VBIV-14598 |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2012-04-17 |