Bien que la faille ici concernée soit corrigé avec vBulletin 4.0.8 PL1, une faille supplémentaire a été identifiée et qui affecte les utilisateurs de IE6.
La faille peut autoriser aux utilisateurs de joindre un fichier script dans leur profil, et les personnes consultant le profil infecté qui utilisent IE6 peuvent subit le contenu du fichier script.
Cette faille affecte uniquement vBulletin 4.0.8 / vBulletin 4.0.8 PL1 où la personnalisation du profil a été activé par l'administrateur. Aucune autre version de vBulletin est affectée. Les versions de vBulletin 4.0.8 qui n'ont pas la personnalisation du profil activé ou qui l'ont désactivé ne sont pas affectés.
Pour corriger cette faille, vous pouvez soit télécharger le patch depuis l'Espace Client de vBulletin : http://members.vbulletin.com/
Ou de désactiver la personnalisation du profil.
Mise à jour depuis vBulletin 4.0.8
Si vous utilisez déjà vBulletin 4.0.8 ou 4.0.8 PL1, la procédure qui est requise pour protéger votre forum est la suivante :
Il n'y a pas besoin d'exécuter le script de mise à jour si vous utilisez déjà vBulletin 4.0.8.
Visitez la section des patches de l'Espace Client vBulletin et téléchargez le patch pour vBulletin 4.0.8 / 4.0.8 PL1, puis décompressez les fichiers de l'archive que vous avez téléchargé, puis placez les fichiers sur votre forum via FTP etc., en écrasant tous les fichiers originaux déjà présents. Ceci mettra à jour votre forum à la version PL2.
Mise à jour depuis une version précédente que vBulletin 4.0.8
Si vous n'utilisez pas encore vBulletin 4.0.8, nous avons mis à jour l'archive du logiciel, vous pouvez télécharger vBulletin 4.0.8 depuis l'Espace Client et effectuer une mise à jour classique.
Instructions complètes pour effectuer la mise à jour de vBulletin ici.
Téléchargement de vBulletin 4.0.8 PL2
Comme d'habitude, la version disponible aujourd'hui est disponible pour tous les licenciés ayant une licence en cours de validité depuis l'Espace Client.
Espace Client vBulletin
http://www.vbulletin.com/forum/showt...8-PL2-Released