Html Injection in vBulletin 3.5.2

Di
Descrizione
The software does not properly filter HTML tags in the title of events before being passed to user in 'calendar.php'&'reminder.php AS include'. that may allow a remote user to inject HTML/javascript codes to events of calendar. The hostile code may be rendered in the web browser of the victim user who will Request Reminder for those Events (persistent).
For example an attacker creates new event (Single-All Day Event , Ranged Event OR Recurring Event)with this content:

Maggiori informazioni

Soluzione:

Attentere una nuova versione/patch :(

Commenti

Posta un commento

Post popolari in questo blog

Real Cloud, Fake Cloud, e il Computer di Qualcun Altro: Sopravvivere alle Mostruosità del Mercato

Di
Immagine
Introduzione: Ma Non Eravamo Tutti sull'AI? Parliamoci chiaro: nel 202X (o quando diavolo state leggendo), mettersi qui a disquisire sulle differenze basilari tra le varie offerte "cloud" ha un sapore quasi... vintage. L'universo tech è in pieno delirio da Intelligenza Artificiale, ogni startup sembra nascere con un .ai nel dominio e ogni conferenza è un tripudio di LLM, prompt pipe-engineer-dreaming (un po' pipeline, un po' sogno, un po' unicorno, sicuramente tutta fuffa) e reti neurali che promettono di risolvere pure il traffico sulla tangenziale. E noi? Noi siamo qui a chiederci se quella roba che ci vendono è davvero cloud (viva la consistenza). Sembra anacronistico? Forse . È inutile? Assolutamente no . Anzi, è proprio questo il punto.  Mentre tutti corrono come criceti impazziti sulla ruota dell'ultima buzzword, ci si dimentica (colpevolmente) delle fondamenta. E indovinate un po' dove girano la maggior parte di quegli algoritmi AI così affa...
Read more »

SaaS, Integrazioni e AI: JP Morgan Suona l'Allarme (E Conferma i Nostri Sospetti)

Di
Immagine
Quando il Gigante Sputa il Rospo (Era Ora!) Nell'articolo precedente, ci siamo messi qui a distinguere il Real Cloud dalla fuffa cosmica, dal Fake Cloud e dal solito "computer di qualcun altro" con lo sticker sopra ? A me sembrava quasi un esercizio di stile utile a sgranchire le dita sulla tastiera e a mettere un punto fermo ai pensieri di ogni giorno, un lamento tra addetti ai lavori stanchi del marketing tossico. Bene, tenetevi forte, non sono il solo a pensarlo: il problema è molto più profondo, sistemico e pericoloso.  E la notizia non è tanto il problema in sé, quanto chi l'ha appena messo nero su bianco con una lettera aperta che ha fatto allarme ma fa anche molto awareness sui "rischi correlati"; la mano che ha scritto questa lettera è di Patrick Opet, il Chief Information Security Officer di JPMorgan Chase (non propriamente un'IT Company). Si, questa JPMorgan Chase Non capita tutti i giorni che un CISO di quel calibro prenda carta e penna (virtu...
Read more »

Patching management — Migliorare la Velocity

Di
Immagine
Ci sono molte cose che ruotano attorno al tema della Security (o per chi ama il marketing Cyber Security), una di queste è il Patching Management. Stavo leggendo  questo documento redatto da Kenna Security e Cyentia  “PRIORITIZATION TO PREDICTION”, vi consiglio la sua lettura per un “azzeramento” su alcuni temi in cui sono personalmente carente, di seguito alcune naturali considerazioni, qualche riflessione e una breve checklist di consigli Velocity: (def.) the speed of something in a given direction Ho sempre considerato “efficace” un processo di patching valutando quando questo fosse in grado di coprire, nel minor tempo possibile, le vulnerabilità evidenziate e sollevate da un qualunque tool di continous VA. Questa mia personale e semplicistica percezione si porta dietro un tema essenziale da identificare: la “Velocity” con cui il patching viene effettuato. Quant’è il “minor tempo possibile”? Per chi si occupa di security e abbia la pretesa che chiunque sia intor...
Read more »