פגיעות קריטית שלא תוקנה במנוע ליצירת פורומי אינטרנט vBulletin (נוסף)

גילה מידע על פגיעות קריטית לא מתוקנת (0 ימים) (CVE-2019-16759) במנוע קנייני ליצירת פורומי אינטרנט vBulletin, המאפשר לך לבצע קוד בשרת על ידי שליחת בקשת POST שתוכננה במיוחד. ניצול עובד זמין עבור הבעיה. vBulletin משמש פרויקטים פתוחים רבים, כולל פורומים המבוססים על מנוע זה. אובונטו, openSUSE, מערכות BSD и סלאקוור.

הפגיעות קיימת במטפל "ajax/render/widget_php", המאפשר להעביר קוד מעטפת שרירותי דרך הפרמטר "widgetConfig[code]" (קוד ההשקה פשוט מועבר, אתה אפילו לא צריך לחמוק מכלום) . ההתקפה אינה דורשת אימות פורום. הבעיה אושרה בכל המהדורות של ענף vBulletin 5.x הנוכחי (שפותח מאז 2012), כולל המהדורה האחרונה 5.5.4. עדכון עם תיקון טרם הוכן.

תוספת 1: לגרסאות 5.5.2, 5.5.3 ו-5.5.4 הפיקו טלאים. לבעלים של מהדורות 5.x ישנות יותר מומלץ לעדכן תחילה את המערכות שלהם לגרסאות הנתמכות העדכניות ביותר כדי לבטל את הפגיעות, אך כפתרון עוקף אחד יכול להגיב קורא "eval($code)" בקוד הפונקציה evalCode מהקובץ כולל/vb5/frontend/controller/bbcode.php.

תוספת 2: הפגיעות כבר פעילה חל להתקפות, דיוור דואר זבל и עוזב דלתות אחוריות. ניתן לראות עקבות של המתקפה ביומני שרת http על ידי נוכחות של בקשות לשורה "ajax/render/widget_php".

תוספת 3: מְשׁוּטָח עקבות השימוש בבעיה הנדונה בהתקפות ישנות, ככל הנראה, הפגיעות נוצלה כבר כשלוש שנים. חוץ מזה, פורסם סקריפט שניתן להשתמש בו לביצוע התקפות אוטומטיות המוניות בחיפוש אחר מערכות פגיעות באמצעות שירות Shodan.

מקור: OpenNet.ru