vBulletin 4.0.8 victime d’une XSS via l’éditeur de profile

0

Le forum vBulletin édité par Jelsoft Entreprises Ltd, présenté comme « le plus puissant des logiciels communautaires » par ses créateurs est aujourd’hui vulnérable à une attaque de type Cross Site Scripting.

Ce forum est commercial. Sa dernière version en date est la 4.0.8. Corrigent pas moins de 390 bugs présents dans la version antérieure (4.0.7).

Pourtant, on dirait que cela n’est pas encore suffisant. En effet, un advisory circule depuis hier soir sur la toile. Il fait état d’une vulnérabilité de type XSS persistante qui serait située dans la partie d’édition de profile.

Notons que si cette fonctionnalité n’est pas activée la vulnérabilité n’existe pas et l’installation de vBulletin est ainsi sécurisé.

Dans les champs de personnalisation de profil, il est possible d’entrer des codes couleur, codes RVB et même des images. La fonction url() n’est pas filtrée correctement et rend vBulletin vulnérable aux attaques XSS.

Plusieurs possibilités d'attaques sont énoncées :

Private Reflected XSS : Un attaquant peut injecter des scripts de manière simple, qui est seulement visible à l’attaquant.

Global Reflected XSS : Un attaquant peut injecter des données CSS malveillantes permettant l’exécution de code javascript, qui est alors visible à quiconque sur le profil de l’utilisateur lors de la navigation.

La solution donnée pour contrer cette vulnérabilité en attendant un patch de l'éditeur est la suivante :

Désactivez immédiatement la personnalisation du profile pour tous les utilisateurs en mesure de personnaliser leur profil ! Quand un correctif de sécurité aura été fourni par le vendeur, activez cette option à nouveau.

 

[youtube LOcLFVAqgOU nolink]

 

Notes :

  • La version 3.8.x n’est pas vulnérable.
  • L’exploit est disponible sur Exploit-DB.