informazioni su una vulnerabilità critica non corretta (0 giorni) (CVE-2019-16759) in un motore proprietario per la creazione di forum web , che consente di eseguire codice sul server inviando una richiesta POST appositamente progettata. È disponibile un exploit funzionante per il problema. vBulletin è utilizzato da molti progetti aperti, inclusi forum basati su questo motore. , , и .
La vulnerabilità è presente nell'handler “ajax/render/widget_php”, che consente di passare codice shell arbitrario attraverso il parametro “widgetConfig[code]” (il codice di lancio viene semplicemente passato, non è nemmeno necessario eseguire l'escape di nulla) . L'attacco non richiede l'autenticazione del forum. Il problema è stato confermato in tutte le versioni dell'attuale ramo vBulletin 5.x (sviluppato dal 2012), inclusa la versione più recente 5.5.4. Non è stato ancora preparato un aggiornamento con una correzione.
Aggiunta 1: Per le versioni 5.5.2, 5.5.3 e 5.5.4 cerotti. Si consiglia ai proprietari di versioni precedenti 5.x di aggiornare prima i propri sistemi alle ultime versioni supportate per eliminare la vulnerabilità, ma come soluzione alternativa chiamando "eval($code)" nel codice della funzione evalCode dal file includes/vb5/frontend/controller/bbcode.php.
Addendum 2: La vulnerabilità è già attiva per gli attacchi, и . Tracce dell'attacco possono essere osservate nei log del server http dalla presenza di richieste per la riga “ajax/render/widget_php”.
Addendum 3: tracce dell'utilizzo del problema in questione in vecchi attacchi; a quanto pare la vulnerabilità è già stata sfruttata da circa tre anni. Oltretutto, uno script che può essere utilizzato per effettuare attacchi automatizzati di massa alla ricerca di sistemi vulnerabili attraverso il servizio Shodan.
Fonte: opennet.ru