ozi gbasara adịghị ike dị oke egwu (CVE-0-2019) na-emezigharịghị (16759-ụbọchị) na injin nkeonwe maka ịmepụta forums weebụ. , nke na-enye gị ohere ịme koodu na sava site na izipu arịrịọ POST ahaziri ahazi. A na-arụ ọrụ iji dozie nsogbu ahụ. vBulletin na-eji ọtụtụ ọrụ mepere emepe, gụnyere forums dabere na injin a. , , и .
Ọdịmma ahụ dị na onye na-ahụ maka “ajax/render/widget_php”, nke na-enye ohere ka ị gafere koodu shei na-ezighi ezi site na paramita “widgetConfig[koodu]” (a na-agafe koodu mmalite ahụ, ọ nweghịdị mkpa ịgbanarị ihe ọ bụla) . Mwakpo ahụ anaghị achọ nyocha ọgbakọ. Ekwuputala nsogbu a na mwepụta niile nke ngalaba vBulletin 5.x dị ugbu a (mepụtara kemgbe 2012), gụnyere ntọhapụ kacha ọhụrụ 5.5.4. Emebebeghị mmelite nwere ndozi.
Mgbakwunye 1: Maka ụdị 5.5.2, 5.5.3 na 5.5.4 patches. A na-adụ ndị nwe mwepụta 5.x ochie ọdụ ka ha buru ụzọ kwalite sistemu ha na ụdị akwadoro kacha ọhụrụ iji kpochapụ adịghị ike ahụ, mana dịka ihe eji arụ ọrụ. na-akpọ "eval ($ koodu)" na evalCode koodu ọrụ site na faịlụ gụnyere/vb5/frontend/controller/bbcode.php.
Ihe mgbakwunye 2: adịghị ike adịlarị maka ọgụ, и . Enwere ike ịhụ akara nke mwakpo ahụ na ndekọ ihe nkesa http site na ọnụnọ nke arịrịọ maka ahịrị "ajax/render/widget_php".
Ihe mgbakwunye 3: akara nke ojiji nke nsogbu a na-akparịta ụka na mbuso agha ochie; o doro anya na, e jirilarị ihe adịghị ike ahụ eme ihe ihe dị ka afọ atọ. E wezụga nke ahụ, script nke enwere ike iji mee nnukwu mwakpo akpaaka na-achọ sistemu adịghị ike site na ọrụ Shodan.
isi: opennet.ru