İranlı güvenlik topluluğu KAPDA 117. açık bildirisinde vBulletin <= 3.5.2 sistemlerde XSS açığı olduğu duyurdu.
Nedir:
Açık calendar.php üstünde olup saldırganın calendar.phpye eklediği bir konu ile gerçekleşmekte.
Nasıl:
Şimdi nasıl kullanıldığını açıklayalım:
Önce [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] dosyasına erişim sağlıyoruz. buraya konu olarak XSS kodumuzu yazıyoruz mesaja istediğinizi yazın hiç bir önemi yok ve bu işlem sonucunda eklediğimiz olayın eventidini unutmuyoruz.
Ardından kurbanımıza [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...][olayidi] sitesine link veriyoruz ve kurbanımız XSS saldırısına maruz kalıyor.
Yama: vBulletin yapımcısı JelSoft 3.5.3 sürümünü çıkardı. [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]



Alıntıdır .....