vBulletin "Attachment Manager" Cross-Site-Scripting - Advisories

Software Inspectors

	Scan Online

	Personal (PSI)

	Network (NSI 2.0)

Solutions For

	Security Professionals

	Security Vendors

Free Solutions For

	Open Communities

	Journalists & Media

Secunia Advisories

	Search

	Historic Advisories

	Listed By Product

	Listed By Vendor

	Statistics / Graphs

	Secunia Research

	Report Vulnerability

	About Advisories

Virus Information

	Chronological List

	Last 10 Virus Alerts

	About Virus Information

Secunia Customers

	Customer Area

vBulletin "Attachment Manager" Cross-Site-Scripting

Secunia Advisory:	SA24085
Herausgegeben:	2007-02-08
Last Update:	2007-02-12

Gefahrenstufe:	Weniger kritisch
Auswirkung:	Cross-Site-Scripting
Von Wo:	Aus dem Internet
Lösungsstatus:	Hersteller-Patch

Software:	vBulletin 3.x

CVE reference:	CVE-2007-0869 (Secunia mirror)

	Want to know the next time vulnerabilities are fixed in this product? - Companies can be alerted via email and SMS!

Beschreibung: Doz hat eine Sicherheitslücke in vBulletin gemeldet, die böswillige Benutzer ausnutzen können, um Cross-Site-Scripting-Attacken durchzuführen. Eingaben an das Formularfeld "Extension" in der Datei admincp/attachment.php werden nicht korrekt gefiltert, bevor sie an einen Benutzer zurückgegeben werden. Dies kann ausgenutzt werden, um im Kontext einer betroffen Seite beliebigen HTML- und Scriptcode in der Browsersitzung eines Benutzers auszuführen. Eine erfolgreiche Ausnutzung setzt voraus, dass der Zielbenutzer als Administrator angemeldet ist. Hinweis: Der Hersteller bestreitet die Sicherheitslücke, da administrative Rechte für eine Ausnutzung vorausgesetzt werden. Die Sicherheitslücke wurde in Version 3.6.4 (vor 2007-02-12) gemeldet. Andere Versionen können ebenfalls betroffen sein. Lösung: Aktualisieren Sie auf Version 3.6.4 (verfügbar 2007-02-12). Gemeldet und/oder entdeckt von: Doz Änderungen: 2007-02-12: CVE-Referenz hinzugefügt. Informationen des Herstellers hinzugefügt. "Lösung" aktualisiert.



Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise. Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.

9 Related Secunia Security Advisories

1. vBulletin Betreff privater Nachrichten Script-Einfügung

2. vBulletin zwei Script-Einfügungs-Sicherheitslücken

3. vBulletin MCP Cross-Site-Scripting Sicherheitslücke

4. vBulletin Cross-Site-Scripting-Sicherheitslücke

5. vBulletin Script-Einfügungs-Sicherheitslücken

6. vBulletin "Attached Before" und "Attached After" SQL-Injektion

7. vBulletin "postids" SQL-Injektion

8. vBulletin "prefs" / "navprefs" Cross-Site-Scripting-Sicherheitslücken

9. vBulletin Mehrere Sicherheitslücken

Show all related advisories

Send Feedback to Secunia

If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com. Ideas, suggestions, and other feedback are most welcome.

Secunia PSI
Scan | Patch | Track
Free Download

Secunia Poll

Most Popular Advisories

1.	Xoops PopnupBlog Module "index.php" Cross-Site Scripting

2.	IBM DB2 CLR Stored Procedures Unspecified Vulnerability

3.	DriveCrypt Plus Pack Password Disclosure Security Issue

4.	Sharity Unspecified Vulnerability

5.	IBM Lotus Quickr Multiple Cross-Site Scripting Vulnerabilities

6.	Sun Solaris NFS RPC Zones Denial of Service

7.	Smart Survey "sid" Cross-Site Scripting Vulnerability

8.	HP Enterprise Discovery Unspecified Privilege Escalation

9.	K-Rate Premium Multiple Vulnerabilities

10.	Red Hat update for kernel