د ویب فورمونو رامینځته کولو لپاره په ملکیت انجن کې د نا سم شوي (0-ورځو) مهم زیانمننې (CVE-2019-16759) په اړه معلومات ، کوم چې تاسو ته اجازه درکوي په سرور کې د ځانګړي ډیزاین شوي POST غوښتنې لیږلو سره کوډ اجرا کړئ. د ستونزې لپاره کاري ګټه شتون لري. vBulletin د ډیری خلاص پروژو لخوا کارول کیږي، په شمول د دې انجن پر بنسټ فورمونه. , , и .
زیانمنتیا په "ajax/render/widget_php" هینډلر کې شتون لري، کوم چې د خپل سري شیل کوډ ته اجازه ورکوي چې د "widgetConfig[code]" پیرامیټر له لارې تیریږي (د لانچ کوډ په ساده ډول تیریږي، تاسو حتی د هیڅ شی څخه تیښتې ته اړتیا نلرئ) . برید د فورم تصدیق ته اړتیا نلري. ستونزه د اوسني vBulletin 5.x څانګې په ټولو خپرونو کې تایید شوې (د 2012 راهیسې رامینځته شوې) ، پشمول وروستي 5.5.4. د فکس سره تازه معلومات لاهم ندي چمتو شوي.
1 اضافه: د 5.5.2، 5.5.3 او 5.5.4 نسخو لپاره پیچونه د زړو 5.x ریلیزونو مالکینو ته مشوره ورکول کیږي چې لومړی خپل سیسټمونه وروستي ملاتړ شوي نسخو ته تازه کړي ترڅو زیان منونکي له منځه یوسي، مګر د حل په توګه د فایل څخه د evalCode فنکشن کوډ کې "eval($code)" زنګ کول شامل دي/vb5/frontend/controller/bbcode.php.
2 ضمیمه: زیانمنتیا لا دمخه فعاله ده د بریدونو لپاره، и . د برید نښې د http سرور لاګونو کې د "ajax/render/widget_php" کرښې لپاره د غوښتنو شتون لخوا لیدل کیدی شي.
3 ضمیمه: په زړو بریدونو کې د بحث لاندې د ستونزې د کارولو نښې؛ په ښکاره ډول، زیانمنونکي لا دمخه د شاوخوا دریو کلونو لپاره کارول شوي. سربیره پردې، یو سکریپټ چې د شوډان خدمت له لارې د زیان منونکي سیسټمونو په لټه کې د ډله ایزو اتوماتیک بریدونو ترسره کولو لپاره کارول کیدی شي.
سرچینه: opennet.ru