Lücke erlaubt Einspeisung von HTML- und Scriptcode

Cross-Site-Scripting Angriff gegen vBulletin möglich

Über eine Sicherheitslücke in der populären BBS Software vBulletin können Angreifer klassische Cross-Site-Scripting Attacken gegen andere Benutzer durchführen.

Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in der aktuellen Version 4.0.2 von vBulletin auf. Andere Versionen der BBS-Software sind unter Umständen ebenfalls betroffen.

Die Sicherheitslücke entsteht in der Datei „search.php“ und tritt auf, wenn der Parameter „search_type“ auf den Wert „1“ gesetzt wurde. Eingaben, die in dieser Konstellation über den Parameter „query“ erfolgen werden nicht korrekt bereinigt und ermöglichen einem Angreifer die Einspeisung von HTML- und Scriptcode in die Sitzungen anderer vBulletin Benutzer. Die Sicherheitslücke wurde mit der neusten Version 4.0.2 Patch Level 2 von vBulletin bereits geschlossen. (vgw)