Множественные уязвимости в Vanilla

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "NewPassword" в сценарии people.php, когда параметр "PostBackAction" установлен в значение "Apply". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

2. Уязвимость существует из-за недостаточной обработки входных данных в полях "Account picture" и "Icon" в сценарии account.php. Удаленный пользователь может с помощью специально сформированного запроса внедрить произвольный код сценария в страницу и выполнить его в браузере жертвы в контексте безопасности уязвимого сайта. Для успешной эксплуатации уязвимости злоумышленник должен иметь действительные учетные данные и целевой пользователь должен быть администратором приложения.

3. Уязвимость существует из-за недостаточной обработки входных данных в поле "Value" в сценарии account.php. Удаленный пользователь может с помощью специально сформированного запроса внедрить произвольный код сценария в страницу и выполнить его в браузере жертвы в контексте безопасности уязвимого сайта. Для успешной эксплуатации уязвимости злоумышленник должен иметь действительные учетные данные и целевой пользователь должен быть администратором приложения.

4. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов перед выполнением некоторых действий в сценарии ajax/UpdateCheck.php. Удаленный пользователь может произвести CSRF нападение.

5. Уязвимость существует из-за недостаточной проверки подлинности HTTP запросов в функционале завершения сессии пользователя. Удаленный пользователь может произвести CSRF нападение.

URL производителя: getvanilla.com

Решение: Способов устранения уязвимости #3 не существует в настоящее время. Установите последнюю версию 1.1.5-rc1 с сайта производителя.