Неотстранена критична уязвимост в двигателя на уеб форума на vBulletin (актуализирана)

Разкрити информация за некоригирана (0-дневна) критична уязвимост (CVE-2019-16759) в собствен двигател за създаване на уеб форуми Еврофутбол, което ви позволява да изпълнявате код на сървъра чрез изпращане на специално проектирана POST заявка. Наличен е работещ експлойт за проблема. vBulletin се използва от много отворени проекти, включително форуми, базирани на този двигател. Ubuntu, openSUSE, BSD системи и Slackware.

Уязвимостта присъства в манипулатора „ajax/render/widget_php“, който позволява произволен шел код да бъде прекаран през параметъра „widgetConfig[code]“ (кода за стартиране просто се предава, дори не е необходимо да избягвате нищо) . Атаката не изисква удостоверяване във форума. Проблемът е потвърден във всички версии на текущия клон vBulletin 5.x (разработен от 2012 г.), включително най-новата версия 5.5.4. Все още не е подготвена актуализация с корекция.

Допълнение 1: За версии 5.5.2, 5.5.3 и 5.5.4 освободен лепенки. Собствениците на по-стари версии 5.x се съветват първо да актуализират своите системи до най-новите поддържани версии, за да премахнат уязвимостта, но като заобиколно решение може да коментирайте извикване на „eval($code)“ в кода на функцията evalCode от файла include/vb5/frontend/controller/bbcode.php.

Допълнение 2: Уязвимостта вече е активна прилага за атаки, спам съобщения и оставяйки задните врати. Следите от атаката могат да бъдат наблюдавани в логовете на http сървъра чрез наличието на заявки за реда „ajax/render/widget_php“.

Допълнение 3: изплува следи от използването на обсъждания проблем в стари атаки; очевидно уязвимостта вече е била използвана от около три години. Освен това, публикувани скрипт, който може да се използва за извършване на масови автоматизирани атаки за търсене на уязвими системи чрез услугата Shodan.

Източник: opennet.ru