漏洞信息详情
VBulletin存在跨站脚本执行漏洞
- CNNVD编号:CNNVD-200212-838
- 危害等级: 低危
- CVE编号: CVE-2002-1678
- 漏洞类型: 输入验证
- 发布时间: 2002-03-21
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: jelsoft
- 漏洞来源: plato plato@swgmot...
漏洞简介
vBulletin是一款商业性质论坛程序,运行在多种Unix和Linux系统平台下,也可运行于Windows平台下,由PHP+MySQL实现。 vBulletin对URL参数过滤上存在漏洞,可导致产生跨站脚本执行漏洞。 vBulletin中memberlist.php脚本的$letterbits参数对用户提供的内容没有做充分过滤,这可能导致攻击者建立包含恶意代码的链接,当其他用户浏览相关此连接的时候,脚本将在用户的浏览器中执行。攻击者可能借此得到用户基于COOKIE的认证信息。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 编辑memberlist.php文件在<?php后增加$letterbits =="" '';="" 一行代码。="" 厂商补丁:="" vbulletin="" ---------=""?>
http://www.vbulletin.com/
参考网址
来源: XF 名称: vbulletin-memberlist-execute-code(8619) 链接:http://xforce.iss.net/xforce/xfdb/8619 来源: BID 名称: 4349 链接:http://www.securityfocus.com/bid/4349 来源:NSFOCUS 名称:2466 链接:http://www.nsfocus.net/vulndb/2466
受影响实体
- Jelsoft Vbulletin:2.2.3
- Jelsoft Vbulletin:2.2.2
- Jelsoft Vbulletin:2.2.0
- Jelsoft Vbulletin:2.2.1
- Jelsoft Vbulletin:2.0_rc2
补丁
暂无
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论