微点交流论坛

标题: vBulletin BB代码遭脚本注入的漏洞 [打印本页]

作者: pioneer 时间: 2010-8-4 09:41 标题: vBulletin BB代码遭脚本注入的漏洞

来源

secunia.com

软件

vBulletin 3.x
vBulletin 4.x

描述

使用常用标签创建内容时解析BB代码，当用户浏览器浏览受影响的网页时恶意数据被浏览，这会导致注入任意HTML和脚本代码。
成功执行需要"Custom BB Code"标签使用在"a"标签的"href"属性中没有被引用的HTML标签

解决方案

编辑源代码确保输入充分过滤
据报告，该漏洞将在V4.0.4中修复

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn