über die einstellung "Anzahl der Tage für Blog-Statistiken" lässt sich sql-code einschmuggeln.

in der installationsdatei (xml) fehlt der datentyp 'number' bei der variablen 'vbblog_stat_cutoff', so dass hier vollkommen ungeprüft jeglicher code in das query eingespeist werden kann:


$vbulletin->db->query_write("
DELETE FROM " . TABLE_PREFIX . "blog_userstats
WHERE dateline < " . ($startstamp - 86400 * ($vbulletin->options['vbblog_stat_cutoff'] - 1)) . "
");

proof of concept (injection):


1 ."-- sqlcode hier...

bitte beheben!

... wenn man Administrator für die Einstellungen ist was das ganze doch etwas relativiert.

... wenn man Administrator für die Einstellungen ist was das ganze doch etwas relativiert.

da stimme ich dir zu. es ändert aber nichts an der tatsache, dass ein user mit entsprechenden rechten funktionen ausführen lassen kann, für die er eben nicht berechtigt ist. da haben es schon ganz andere sachen aus dem ACP auf bugtraq und konsorten geschafft.

über die variable 'vbblog_tagminlen' die ebenfalls nicht geprüft wird, lassen sich noch ganz andere sachen machen :/