informations sur une vulnérabilité critique non corrigée (0 jour) (CVE-2019-16759) dans un moteur propriétaire de création de forums Web , qui vous permet d'exécuter du code sur le serveur en envoyant une requête POST spécialement conçue. Un exploit fonctionnel est disponible pour le problème. vBulletin est utilisé par de nombreux projets ouverts, y compris les forums basés sur ce moteur. , , и .
La vulnérabilité est présente dans le gestionnaire « ajax/render/widget_php », qui permet de passer du code shell arbitraire via le paramètre « widgetConfig[code] » (le code de lancement est simplement passé, vous n'avez même pas besoin d'échapper à quoi que ce soit) . L'attaque ne nécessite pas d'authentification sur le forum. Le problème a été confirmé dans toutes les versions de la branche actuelle de vBulletin 5.x (développée depuis 2012), y compris la version la plus récente 5.5.4. Une mise à jour avec un correctif n'a pas encore été préparée.
Ajout 1 : Pour les versions 5.5.2, 5.5.3 et 5.5.4 des correctifs. Il est conseillé aux propriétaires d'anciennes versions 5.x de mettre d'abord à jour leurs systèmes vers les dernières versions prises en charge pour éliminer la vulnérabilité, mais comme solution de contournement. en appelant « eval($code) » dans le code de la fonction evalCode à partir du fichier include/vb5/frontend/controller/bbcode.php.
Addendum 2 : La vulnérabilité est déjà active pour les attaques, и . Des traces de l'attaque peuvent être observées dans les logs du serveur http par la présence de requêtes pour la ligne « ajax/render/widget_php ».
Addendum 3 : traces de l'utilisation du problème en discussion dans d'anciennes attaques ; apparemment, la vulnérabilité est déjà exploitée depuis environ trois ans. En plus, un script qui peut être utilisé pour mener des attaques automatisées de masse recherchant des systèmes vulnérables via le service Shodan.
Source: opennet.ru
