fampahalalana momba ny vulnerability mitsikera tsy voahitsy (0 andro) (CVE-2019-16759) amin'ny maotera manan-tompo amin'ny famoronana forum forum. , izay ahafahanao manatanteraka kaody amin'ny mpizara amin'ny fandefasana fangatahana POST manokana. Misy fanararaotana miasa ho an'ny olana. vBulletin dia ampiasain'ny tetikasa misokatra maro, anisan'izany ny forum mifototra amin'ity motera ity. , , ΠΈ .
Ny vulnerability dia hita ao amin'ny "ajax/render/widget_php" mpitantana, izay mamela ny kaody akorandriaka tsy misy dikany amin'ny alΓ lan'ny "widgetConfig[code]" parameter (ny kaody fanombohana dia mandalo fotsiny, tsy mila mandositra na inona na inona ianao) . Tsy mila fanamarinana forum ny fanafihana. Ny olana dia voamarina tamin'ny famoahana rehetra ny sampana vBulletin 5.x ankehitriny (novolavolaina hatramin'ny 2012), anisan'izany ny famoahana farany 5.5.4. Tsy mbola voaomana ny fanavaozana misy fanamboarana.
Fanampiny 1: Ho an'ny dikan-teny 5.5.2, 5.5.3 ary 5.5.4 paty. Ireo tompon'ny famoahana 5.x taloha dia asaina manavao aloha ny rafiny amin'ny dikan-teny tohanana farany indrindra mba hanafoanana ny vulnerability, fa ho toy ny vahaolana. miantso ny "eval ($ code)" ao amin'ny code function evalCode avy amin'ny rakitra misy/vb5/frontend/controller/bbcode.php.
Fanampiny 2: Efa mavitrika ny vulnerability ho an'ny fanafihana, ΠΈ . Ny dian'ny fanafihana dia azo jerena ao amin'ny log server http amin'ny fisian'ny fangatahana ny andalana "ajax/render/widget_php".
Fanampiny 3: soritra amin'ny fampiasana ny olana resahina amin'ny fanafihana taloha; toa efa voarara nandritra ny telo taona teo ho eo ny fahalemena. Ankoatra izany, script izay azo ampiasaina hanaovana fanafihana mandeha ho azy faobe mitady rafitra marefo amin'ny alΓ lan'ny serivisy Shodan.
Source: opennet.ru