Уязвимость BDU:2021-05701

Дата: 01.02.2021. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2021-05701.

Наименование уязвимости: Уязвимость парсера BBCode коммерческого веб-форума vBulletin, связанная c непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный JavaScript.

Описание уязвимости: Уязвимость парсера BBCode коммерческого веб-форума vBulletin связана c непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный JavaScript путем внедрения кода в сообщение используя вложенные ББкоды
Уязвимое ПО: Сетевое средство, Прикладное ПО информационных систем, Сетевое программное средство vBulletin vBulletin до 5.6.4 PL1 | Сетевое средство, Прикладное ПО информационных систем, Сетевое программное средство vBulletin vBulletin 5.6.3 PL1 | Сетевое средство, Прикладное ПО информационных систем, Сетевое программное средство vBulletin vBulletin 5.6.2 PL2 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 01.02.2021.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Обновление программного обеспечения до актуальной версии
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости:
Прочая информация: Уязвимость была выявлена Игорем Сак-Саковским (компания Positive Technologies)
Тип ошибки CWE: CWE-79
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.ptsecurity.com
https://www.vbulletin.org/forum/showthread.php?t=328715
https://swarm.ptsecurity.com/

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован.