Zambiri zokhuza kusakhazikika (0-day) pachiwopsezo chachikulu (CVE-2019-16759) mu injini ya eni ake popanga ma forum , zomwe zimakulolani kuti mupereke code pa seva potumiza pempho la POST lopangidwa mwapadera. Kugwiritsa ntchito kulipo pavutoli. vBulletin imagwiritsidwa ntchito ndi ma projekiti ambiri otseguka, kuphatikiza mabwalo otengera injini iyi. , , ΠΈ .
Chiwopsezochi chilipo pa chogwirizira cha "ajax/render/widget_php", chomwe chimalola kuti code ya chipolopolo idutsidwe pagawo la "widgetConfig[code]" (kodi yotsegulira yangodutsa, simuyenera kuthawa chilichonse) . Kuwukira sikufuna kutsimikizika kwa forum. Vutoli latsimikiziridwa muzotulutsa zonse za nthambi yaposachedwa ya vBulletin 5.x (yopangidwa kuyambira 2012), kuphatikiza kutulutsidwa kwaposachedwa kwambiri kwa 5.5.4. Kusintha kokhala ndi kukonza sikunakonzedwebe.
Zowonjezera 1: Zamitundu 5.5.2, 5.5.3 ndi 5.5.4 zigamba. Eni ake otulutsa akale a 5.x akulangizidwa kuti asinthe kaye makina awo kumitundu yaposachedwa kuti athetse chiwopsezo, koma ngati njira yothanirana. kuyitana "eval($code)" mu kachidindo ka evalCode kuchokera pafayilo ikuphatikizapo/vb5/frontend/controller/bbcode.php.
Zowonjezera 2: Chiwopsezo chayamba kale za ma attack, ΠΈ . Zotsatira zakuukira zitha kuwonedwa muzolemba za seva http mwa kupezeka kwa zopempha za mzere "ajax/render/widget_php".
Zowonjezera 3: Zotsatira za kugwiritsidwa ntchito kwa vuto lomwe likukambidwa pakuwukira kwakale; mwachiwonekere, kusatetezekako kwagwiritsidwa ntchito kale kwa zaka zitatu. Komanso, script yomwe ingagwiritsidwe ntchito popanga ziwopsezo zambiri zongosaka makina osatetezeka kudzera muutumiki wa Shodan.
Source: opennet.ru