Leck in Forensystem vBulletin

SicherheitSicherheitsmanagement

Eine neue Version von vBulletin steht zum Download bereit. Die alte ist anfällig für Cross-Site-Scriptings.

Nur zwei Wochen nach dem letzten XSS-Leck ist in vBulletin erneut eine Schwachstelle aufgetaucht, die sich für Cross-Site-Scriptings nutzen laesst. Die Entwickler haben daher ein Update auf Version 3.7.2 PL1 beziehungsweise 3.6.10 PL3 veröffentlicht (PL = Patch Level).

Die Sicherheitsexperten von Secunia stufen das Lecks als highly critical ein. Schließlich kann ein Angreifer eigenen Code einschleusen, da beim Aufruf nicht vorhandener Seiten nicht alle Parameter überprüft werden. (Daniel Dubsky)