інфармацыя аб нявыпраўленай (0-day) крытычнай уразлівасці (CVE-2019-16759) у прапрыетарным рухавічку для стварэння web-форумаў , якая дазваляе выканаць код на серверы праз адпраўку спецыяльна аформленага POST-запыту. Для праблемы даступны працоўны эксплоіт. vBulletin выкарыстоўваецца шматлікімі адкрытымі праектамі, у тым ліку на базе дадзенага рухавічка працуюць форумы , , и .
Уразлівасць прысутнічае ў апрацоўшчыку "ajax/render/widget_php", які дапускае перадачу адвольнага shell-кода праз параметр "widgetConfig[code]" (проста перадаецца код для запуску, нават не трэба нічога экранаваць). Для нападу не патрабуецца аўтэнтыфікацыя ў форуме. Праблема пацверджана ва ўсіх выпусках актуальнай галіны vBulletin 5.x (развіваецца з 2012 года), у тым ліку самы свежы выпуск 5.5.4. Абнаўленне з выпраўленнем пакуль не падрыхтавана.
Дадатак 1: Для версій 5.5.2, 5.5.3 і 5.5.4 патчы. Уладальнікам больш старых выпускаў 5.x для ўхілення ўразлівасці рэкамендавана спачатку абнавіць свае сістэмы да актуальных падтрымоўваных версій, але ў якасці абыходнага спосабу абароны выклік "eval($code)" у кодзе функцыі evalCode з файла includes/vb5/frontend/controller/bbcode.php.
Дадатак 2: Уразлівасць ужо актыўна для нападаў, и . Сляды нападу можна назіраць у логах http-сервера па прысутнасці запытах радка "ajax/render/widget_php".
Дадатак 3: сляды выкарыстання абмяркоўваецца праблемы ў старых атаках, мяркуючы па ўсім, уразлівасць ужо эксплуатуецца каля трох гадоў. Акрамя таго, скрыпт, які можна выкарыстоўваць для здзяйснення масавых аўтаматызаваных нападаў з пошукам уразлівых сістэм праз сэрвіс Shodan.
Крыніца: opennet.ru