Redirection ouverte dans XenForo via getDynamicRedirect

XenForo avant les versions 2.2.17 et 2.3.1 permet une redirection ouverte via une URL spécialement conçue. La fonction getDynamicRedirect() ne valide pas correctement la cible de redirection, ce qui permet aux attaquants de rediriger les utilisateurs vers des sites externes arbitraires à l'aide d'URL conçues contenant des sauts de ligne, des informations d'identification d'utilisateur ou des incompatibilités d'hôte.