Σύμφωνα με ένα μήνυμα ηλεκτρονικού ταχυδρομείου που απέστειλαν οι υπεύθυνοι ανάπτυξης της web εφαρμογής Tapatalk που έρχεται υπό τη μορφή plug-in, ανακαλύφθηκε ένα κενό ασφαλείας.
Η ευπάθεια επιτρέπει σε τρίτους να πραγματοποιήσουν cross-site scripting για να αλλάξουν το περιεχόμενο ή τη συμπεριφορά της εφαρμογής στον web browser του χρήστη, χωρίς όμως να διακυβεύεται η ασφάλεια του υποκείμενου συστήματος.
Τα Plug-ins που έχουν επιδιορθωθεί αφορούν τα παρακάτω συστήματα:
vBulletin 3 v4.4.1
vBulletin 4 v5.0.1
phpBB 3 v4.4.1
IPB 3.4 v3.9.1
SMF 2 v3.9.5
Xenforo v2.0.4
MyBB v3.9.1
Kunena3 v1.1.5
Vanilla v1.4.2
WBB4 V1.0.1
Αν πλατφόρμα του forum σας δεν περιλαμβάνεται στην παραπάνω λίστα, δεν είναι ευάλωτη στο cross site scripting.
Εάν έχετε οποιεσδήποτε ερωτήσεις, μπορείτε να επικοινωνήσετε κατευθείαν με την ομάδα ανάπτυξης του plug-in στο email: support [at] tapatalk.com
Παραθέτουμε το προειδοποιητικό email:
Dear Tapatalk Partner,
This message is to notify you of a security vulnerability that was found earlier this year in the Tapatalk plug-in. The issue involves a cross-site scripting vulnerability that may allow a third party to manipulate the content or behavior of a web application in a user’s browser, without compromising the underlying system.
While our engineering team and other security apps have classified this as a low risk item and have not received any reports of compromised systems, we still recommend that you update your forum’s Tapatalk plugin to the latest version available on our website.
Plug-ins versions that have been patched:
vBulletin 3 v4.4.1
vBulletin 4 v5.0.1
phpBB 3 v4.4.1
IPB 3.4 v3.9.1
SMF 2 v3.9.5
Xenforo v2.0.4
MyBB v3.9.1
Kunena3 v1.1.5
Vanilla v1.4.2
WBB4 V1.0.1If your forum platform is not listed above, it is not vulnerable to the cross site scripting issue.
If you have any questions, please reply to this message and let us know. We will only be communicating this issue via email to avoid broadcasting the existence of the vulnerability and putting forum owners who have not yet updated in unnecessary risk.