Informationen zu einer nicht behobenen (0-Tage) kritischen Sicherheitslücke (CVE-2019-16759) in einer proprietären Engine zum Erstellen von Webforen , mit dem Sie Code auf dem Server ausführen können, indem Sie eine speziell entwickelte POST-Anfrage senden. Für das Problem steht ein funktionierender Exploit zur Verfügung. vBulletin wird von vielen offenen Projekten verwendet, einschließlich Foren, die auf dieser Engine basieren. , , и .
Die Schwachstelle liegt im „ajax/render/widget_php“-Handler vor, der die Weitergabe von beliebigem Shell-Code über den Parameter „widgetConfig[code]“ ermöglicht (der Startcode wird einfach übergeben, Sie müssen nicht einmal irgendetwas maskieren). . Der Angriff erfordert keine Forumauthentifizierung. Das Problem wurde in allen Versionen des aktuellen vBulletin 5.x-Zweigs (entwickelt seit 2012) bestätigt, einschließlich der neuesten Version 5.5.4. Ein Update mit Fix ist noch nicht vorbereitet.
Ergänzung 1: Für Versionen 5.5.2, 5.5.3 und 5.5.4 Patches. Besitzern älterer 5.x-Versionen wird empfohlen, ihre Systeme zunächst auf die neuesten unterstützten Versionen zu aktualisieren, um die Schwachstelle zu beseitigen, allerdings als Workaround Aufruf von „eval($code)“ im evalCode-Funktionscode aus der Datei include/vb5/frontend/controller/bbcode.php.
Nachtrag 2: Sicherheitslücke ist bereits aktiv für Angriffe, и . Spuren des Angriffs sind in den Protokollen des http-Servers durch das Vorhandensein von Anfragen für die Zeile „ajax/render/widget_php“ erkennbar.
Nachtrag 3: Spuren der Nutzung des diskutierten Problems in alten Angriffen; offenbar wird die Schwachstelle bereits seit etwa drei Jahren ausgenutzt. Außerdem, Ein Skript, mit dem automatisierte Massenangriffe auf der Suche nach anfälligen Systemen über den Shodan-Dienst durchgeführt werden können.
Source: opennet.ru