Nach einem Bericht von Secunia wurde die Sicherheitslücke in den Versionen 3.7.2.PL1 und 3.6.10.PL3 nachgewiesen. Andere Versionen der BBS Software sind unter Umständen ebenfalls betroffen. Die Schwachstelle entsteht durch die mangelhafte Bereinigung von Eingaben in der Betreffzeile von privaten Nachrichten in vBulletin. Angreifer, die den Betreff einer Nachricht entsprechend manipulieren, können beliebigen HTML- und Scriptcode in die Browsersitzung anderer vBulletin Anwender einspeisen. Die Schwachstelle wird mit den Versionen 3.6.10.PL4 und 3.7.2.PL2 behoben. (vgw)
Lücke ermöglicht XSS-Angriff gegen vBulletin
21.08.2008
Über eine Schwachstelle in vBulletin, einer populären Internetforensoftware, können Angreifer per Cross-Site-Scripting HTML- und Scriptcode einspeisen.