vBulletin 3.x

Update für vBulletin beseitigt kritische Lücken

Die Entwickler von vBulletin haben ein Update für Version 3.x zur Verfügung gestellt.

Zwei Schwachstellen in vBulletin erlauben es Angreifern, Cross-Site-Scripting-Angriffe auszuführen. Eingaben via „PHP_SELF“ oder dem „do“-Parameter überprüft die Software vor der Anforderung einer fehlenden Seite nicht ausreichend, bevor diese geloggt werden. Damit lässt sich beliebiger Script-Code einschleusen, der ausgeführt wird, wenn ein Administrator die Log-Dateien ansieht. Laut den Sicherheitsexperten von Secunia lässt sich somit auch beliebiger PHP-Code einspeisen und ausführen.

Die Sicherheitslücken sind bestätigt für Versionen 3.7.2 und 3.6.10 PL2. Vorgängerversionen könnten ebenfalls betroffen sein. Die Entwickler raten zu einem Update auf 3.7.2 PL1 oder 3.6.10 PL3. (jdo)