información sobre una vulnerabilidad crítica no corregida (día 0) (CVE-2019-16759) en un motor propietario para la creación de foros web , que le permite ejecutar código en el servidor enviando una solicitud POST especialmente diseñada. Hay un exploit funcional disponible para el problema. vBulletin es utilizado por muchos proyectos abiertos, incluidos foros basados en este motor. , , и .
La vulnerabilidad está presente en el controlador “ajax/render/widget_php”, que permite pasar código de shell arbitrario a través del parámetro “widgetConfig[código]” (el código de inicio simplemente se pasa, ni siquiera es necesario escapar de nada) . El ataque no requiere autenticación en el foro. El problema se ha confirmado en todas las versiones de la rama actual de vBulletin 5.x (desarrollada desde 2012), incluida la versión más reciente 5.5.4. Aún no se ha preparado una actualización con una solución.
Adición 1: Para las versiones 5.5.2, 5.5.3 y 5.5.4 parches. Se recomienda a los propietarios de versiones anteriores 5.x que primero actualicen sus sistemas a las últimas versiones compatibles para eliminar la vulnerabilidad, pero como solución alternativa. llamando a “eval($code)” en el código de función evalCode del archivo include/vb5/frontend/controller/bbcode.php.
Anexo 2: La vulnerabilidad ya está activa por ataques, и . Se pueden observar rastros del ataque en los registros del servidor http por la presencia de solicitudes para la línea "ajax/render/widget_php".
Anexo 3: rastros del uso del problema en discusión en ataques antiguos; aparentemente, la vulnerabilidad ya ha sido explotada durante unos tres años. Además, un script que puede utilizarse para realizar ataques automatizados masivos buscando sistemas vulnerables a través del servicio Shodan.
Fuente: opennet.ru