المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : ثغرات XSS في الجيل الرابع من منتديات Vbulletin 4.0.2


غاادر
04-29-2010, 10:46 AM
http://raym0n.com/wp-content/uploads/vbulletin.jpg (http://raym0n.com/2010/04/29/xss-%d9%81%d9%8a-%d8%a7%d9%84%d8%ac%d9%8a%d9%84-%d8%a7%d9%84%d8%b1%d8%a7%d8%a8%d8%b9-%d9%85%d9%86-%d9%85%d9%86%d8%aa%d8%af%d9%8a%d8%a7%d8%aa-vbulletin-4-0-2/vbulletin/)
اُكتشفت ثغرتين أمنيتين من نوع XSS في الجيل الرابع من برنامج المنتديات الشهير Vbulletin .
الثغرة الأولى اُكتشفت بتاريخ 23/03/2010 داخل الملف الخاص بالبحث داخل المنتدى search.php

ونشرت الرقعة الأمنية في موقع البرنامج الرسمي هنا (http://www.vbulletin.com/forum/showthread.php?346486-Security-Fix-Releases-%203.7.7-and-4.0.2-PL-2) .
أما بالنسبة للثغرة الثانية اُكتشفت بتاريخ 25/03/2010 داخل خاصية المدونات Blogs الموجودة بالاصدار الجديد
الثغرة توجد في صندوق عنوان التدوينة (Title Box) تمكن المهاجم من اضافة تدوينة تحتوى على اكواد ضارة .
الجدير بالذكر ان ثغرات الـ XSS او الـ Cross-site scripting خطيرة نسبياً وتشكل تهديد أمني صريح
أما بالنسبة للحلول الأمنية حالياً التأكد من وضع جدار ناري على المجلد الخاص بالمدير والمشرفين بالبرنامج او الترقية لى النسخة 4.0.3 .

للأطلاع على الثغرات :
Vbulletin Blog 4.0.2 XSS Vulnerability (http://go2.wordpress.com/?id=725X1342&site=gh05th4ck.wordpress.com&url=http%3A%2F%2Fsecurityreason.com%2Fexploitalert %2F8041&sref=http%3A%2F%2Fgh05th4ck.wordpress.com%2Fpage%2 F3%2F)
Vbulletin 4.0.2 XSS Vulnerability (http://securityreason.com/exploitalert/8026)
هل تعتقد معي ان الشركات الكبرى بمجال تطبيقات الويب لم تعد تهتم بالحماية من ثغرات الـ XSS