VBulletin
популярный форум для UNIX и Windows систем.
Программа не в состоянии отфильтровать код
сценария внутри разрешенных тэгов. В
результате, удаленный атакующий может
вставить произвольный javascript код в
сообщения форума, который будет выполнен
при просмотре такого сообщения. Пример:

<b onMouseOver="alert(document.location);">This piece of text
could be dangerous if you were to move your mouse over it!</b>

Уязвимость обнаружена в VBulletin 2.2.7, 2.2.8.



Оставить мнение