Update schließt Schwachstelle in vBulletin 3.x

Die Sicherheitslücke lässt sich unter Umständen zu so genanntem Cross-Site Scripting ausnutzen. Schuld ist die Betreffszeile bei privaten Nachrichten. Eingaben überprüft die Software nicht ausreichend, bevor diese abgespeichert werden. Dies lässt sich eventuell ausnutzen, um beliebigen HTML- oder Script-Code in der Browser-Sitzung eines Anwenders auszuführen. Voraussetzung ist, dass ein Empfänger die modifizierte Nachricht in vBulletin ansieht. Ebenso muss die Option „Show New Private Message Notification Pop-Up“ aktiviert sein.

Die Schwachstelle ist für die Versionen 3.7.2 PL1 und 3.6.10 PL3 bestätigt. Frühere Varianten könnten ebenfalls betroffen sein. Der Softwarehersteller empfiehlt ein Update auf 3.7.2 PL2 oder 3.6.10 PL4. (jdo)