teave parandamata (0-päevase) kriitilise haavatavuse (CVE-2019-16759) kohta veebifoorumite loomiseks mõeldud patenteeritud mootoris , mis võimaldab serveris koodi käivitada, saates selleks spetsiaalselt loodud POST-päringu. Probleemi lahendamiseks on saadaval töötav funktsioon. vBulletinit kasutavad paljud avatud projektid, sealhulgas sellel mootoril põhinevad foorumid. , , и .
Haavatavus esineb töötlejas “ajax/render/widget_php”, mis võimaldab suvalise shelli koodi parameetri “widgetConfig[code]” kaudu edastada (käivituskood edastatakse lihtsalt, pole vaja isegi millestki põgeneda) . Rünnak ei nõua foorumi autentimist. Probleem on leidnud kinnitust kõigis praeguse vBulletin 5.x haru (arendatud alates 2012. aastast) väljaannetes, sealhulgas kõige uuemas versioonis 5.5.4. Parandusega värskendust pole veel ette valmistatud.
1. täiendus: versioonide 5.5.2, 5.5.3 ja 5.5.4 jaoks plaastrid. Vanemate 5.x väljaannete omanikel soovitatakse haavatavuse kõrvaldamiseks esmalt oma süsteeme värskendada uusimatele toetatud versioonidele, kuid see on lahendus. "eval($code)" kutsumine evalCode'i funktsioonikoodis failist include/vb5/frontend/controller/bbcode.php.
Lisa 2: haavatavus on juba aktiivne rünnakute jaoks, и . Rünnaku jälgi saab jälgida http-serveri logides rea “ajax/render/widget_php” päringute olemasoluga.
Lisa 3: arutluse all oleva probleemi kasutamise jäljed vanades rünnetes, ilmselt on haavatavust ära kasutatud juba umbes kolm aastat. Pealegi, skript, mida saab kasutada massiliste automatiseeritud rünnakute läbiviimiseks haavatavate süsteemide otsimiseks teenuse Shodani kaudu.
Allikas: opennet.ru