vBulletin anfällig für Cross-Site-Scriptings

SicherheitSicherheitsmanagement

Die vBulletin-Entwickler haben eine Sicherheitslücke in ihrem Forensystem gestopft. Es war anfällig für Attacken via Cross-Site-Scripting.

Weil nicht alle Eingaben für den Parameter redirect auf der Login-Seite modcp/index.php ausreichend überprüft werden, kann dem Forensystem vBulletin HTML- und Skriptcode untergeschoben werden. Betroffen sind die Versionen 3.7.1 PL1 und niedriger sowie 3.6.10 PL1 und niedriger. Die Entwickler haben sich bereits um das Problem gekümmert – um vBulletin auf Patch Level 2 (PL2) zu bringen, braucht nur das Update heruntergeladen, entpackt und auf den Server übertragen zu werden. Die dort vorhandenen Dateien werden einfach überschrieben. In Kürze soll zudem vBulletin in Version 3.7.2 veröffentlicht werden. (Daniel Dubsky)