inligting oor 'n ongekorrigeerde (0-dae) kritieke kwesbaarheid (CVE-2019-16759) in 'n eie enjin vir die skep van webforums , wat jou toelaat om kode op die bediener uit te voer deur 'n spesiaal ontwerpte POST-versoek te stuur. 'n Werkende uitbuiting is beskikbaar vir die probleem. vBulletin word deur baie oop projekte gebruik, insluitend forums wat op hierdie enjin gebaseer is. , , и .
Die kwesbaarheid is teenwoordig in die “ajax/render/widget_php”-hanteerder, wat toelaat dat arbitrêre dopkode deur die “widgetConfig[code]”-parameter gestuur word (die bekendstellingskode word eenvoudig deurgegee, jy hoef nie eers iets te ontsnap nie) . Die aanval vereis nie forumverifikasie nie. Die probleem is bevestig in alle vrystellings van die huidige vBulletin 5.x-tak (ontwikkel sedert 2012), insluitend die mees onlangse vrystelling 5.5.4. 'n Opdatering met 'n regstelling is nog nie voorberei nie.
Byvoeging 1: Vir weergawes 5.5.2, 5.5.3 en 5.5.4 kolle. Eienaars van ouer 5.x-vrystellings word aangeraai om eers hul stelsels op te dateer na die nuutste ondersteunde weergawes om die kwesbaarheid uit te skakel, maar as 'n oplossing roep "eval($code)" in die evalCode-funksiekode van die lêer include/vb5/frontend/controller/bbcode.php.
Bylaag 2: Kwesbaarheid is reeds aktief vir aanvalle, и . Spore van die aanval kan in die http-bedienerlogboeke waargeneem word deur die teenwoordigheid van versoeke vir die reël "ajax/render/widget_php".
Bylaag 3: spore van die gebruik van die probleem onder bespreking in ou aanvalle; blykbaar is die kwesbaarheid reeds vir ongeveer drie jaar uitgebuit. Buitendien, 'n skrif wat gebruik kan word om massa-geoutomatiseerde aanvalle uit te voer op soek na kwesbare stelsels deur die Shodan-diens.
Bron: opennet.ru