本件セキュリティ問題はvBSEOのadministratorとmoderatorパネルに発見されました。「linkback」機能のバグを使って悪戯マルウェアにフォーラムのユーザのリクエアストをリダイレクトされる事が出来ます。
例えば、アタッカーがマルウェアサイトHTMLページを用意した、それでバグっているvBSEOのフォーラムのリンクをクリックしたらvBSEOがHTTPのGETリクエストを悪戯HTMLに送ってしまいます、本件の攻撃パターンの条件はフォーラムの「RefBacks」が有効にしなきぇ行け無いです。
多分上記の説明だけでは分からないですので、下記のビデオにも発見したのでご確認下さい。
日本にはvBSEO使っているフォーラムがあると私は知っているからこの情報を読んで欲しい。
----
ゼロデイ・ジャパン
http://0day.jp
0 件のコメント:
コメントを投稿