informatie over een niet-gecorrigeerde (0-dagen) kritieke kwetsbaarheid (CVE-2019-16759) in een eigen engine voor het maken van webforums , waarmee u code op de server kunt uitvoeren door een speciaal ontworpen POST-verzoek te verzenden. Er is een werkende exploit beschikbaar voor het probleem. vBulletin wordt door veel open projecten gebruikt, inclusief forums die op deze engine zijn gebaseerd. , , и .
De kwetsbaarheid is aanwezig in de handler “ajax/render/widget_php”, waarmee willekeurige shell-code kan worden doorgegeven via de parameter “widgetConfig[code]” (de startcode wordt eenvoudigweg doorgegeven, u hoeft niet eens aan iets te ontsnappen) . Voor de aanval is geen forumverificatie vereist. Het probleem is bevestigd in alle releases van de huidige vBulletin 5.x-tak (ontwikkeld sinds 2012), inclusief de meest recente release 5.5.4. Een update met een oplossing is nog niet voorbereid.
Toevoeging 1: Voor versies 5.5.2, 5.5.3 en 5.5.4 pleisters. Eigenaren van oudere 5.x-releases wordt geadviseerd om eerst hun systemen bij te werken naar de nieuwste ondersteunde versies om de kwetsbaarheid te elimineren, maar als tijdelijke oplossing het aanroepen van “eval($code)” in de evalCode-functiecode uit het bestand include/vb5/frontend/controller/bbcode.php.
Addendum 2: Kwetsbaarheid is al actief voor aanvallen, и . Sporen van de aanval kunnen worden waargenomen in de http-serverlogboeken door de aanwezigheid van verzoeken voor de regel “ajax/render/widget_php”.
Bijlage 3: sporen van het gebruik van het besproken probleem bij oude aanvallen; blijkbaar wordt de kwetsbaarheid al ongeveer drie jaar uitgebuit. Daarnaast, een script dat kan worden gebruikt voor het uitvoeren van massale geautomatiseerde aanvallen op zoek naar kwetsbare systemen via de Shodan-service.
Bron: opennet.ru