informacja o nieskorygowanej (0-day) krytycznej luce (CVE-2019-16759) w autorskim silniku do tworzenia forów internetowych , która umożliwia wykonanie kodu na serwerze poprzez wysłanie specjalnie zaprojektowanego żądania POST. Dostępny jest działający exploit rozwiązujący ten problem. vBulletin jest używany przez wiele otwartych projektów, w tym fora oparte na tym silniku. , , и .
Luka występuje w procedurze obsługi „ajax/render/widget_php”, która umożliwia przekazanie dowolnego kodu powłoki poprzez parametr „widgetConfig[code]” (kod startowy jest po prostu przekazywany, nie trzeba nawet przed niczym uciekać) . Atak nie wymaga uwierzytelnienia na forum. Problem został potwierdzony we wszystkich wydaniach aktualnej gałęzi vBulletin 5.x (rozwijanej od 2012 roku), łącznie z najnowszą wersją 5.5.4. Aktualizacja z poprawką nie została jeszcze przygotowana.
Dodatek 1: Dla wersji 5.5.2, 5.5.3 i 5.5.4 łaty. Właścicielom starszych wydań 5.x zaleca się najpierw aktualizację swoich systemów do najnowszych obsługiwanych wersji w celu wyeliminowania luki, ale w ramach obejścia wywołanie „eval($code)” w kodzie funkcji evalCode z pliku include/vb5/frontend/controller/bbcode.php.
Dodatek 2: Luka jest już aktywna za ataki, и . Ślady ataku można zaobserwować w logach serwera http poprzez obecność żądań linii „ajax/render/widget_php”.
Dodatek 3: ślady wykorzystania omawianego problemu w starych atakach; najwyraźniej luka była wykorzystywana już od około trzech lat. Oprócz, skrypt, który można wykorzystać do przeprowadzenia masowych, automatycznych ataków w poszukiwaniu podatnych systemów za pośrednictwem usługi Shodan.
Źródło: opennet.ru