Hersteller-Flicken
Update schließt Schwachstelle in vBulletin 3.x
Die Entwickler der Schwarzen-Brett-Software vBulletin haben ein Sicherheitsupdate zur Verfügung gestellt.
Die Sicherheitslücke lässt sich unter Umständen zu so genanntem Cross-Site Scripting ausnutzen. Schuld ist die Betreffszeile bei privaten Nachrichten. Eingaben überprüft die Software nicht ausreichend, bevor diese abgespeichert werden. Dies lässt sich eventuell ausnutzen, um beliebigen HTML- oder Script-Code in der Browser-Sitzung eines Anwenders auszuführen. Voraussetzung ist, dass ein Empfänger die modifizierte Nachricht in vBulletin ansieht. Ebenso muss die Option „Show New Private Message Notification Pop-Up“ aktiviert sein.
Die Schwachstelle ist für die Versionen 3.7.2 PL1 und 3.6.10 PL3 bestätigt. Frühere Varianten könnten ebenfalls betroffen sein. Der Softwarehersteller empfiehlt ein Update auf 3.7.2 PL2 oder 3.6.10 PL4. (jdo)
Der neue IT-Nachrichtendienst von TecChannel, Computerwoche, CIO und CFOworld
Lesen Sie ab sofort nur noch die für Sie wirklich relevanten Informationen von den wichtigsten IT-Webseiten! relevANTS, der lernende Nachrichtendienst für IT-Profis übernimmt diese Aufgabe für Sie. Hinter relevANTS steckt eine semantische Analysetechnik, die anhand Ihres Nutzerverhaltens und Ihrer persönlichen Vorgaben das Internet nach relevanten Inhalten durchforstet. Melden Sie sich hier kostenlos an!
Mehr zum Thema
