інформація про невиправлену (0-day) критичну вразливість (CVE-2019-16759) у пропрієтарному движку для створення web-форумів , що дозволяє виконати код на сервер через відправлення спеціально оформленого POST-запиту. Для проблеми доступний робочий експлоїт. vBulletin використовується багатьма відкритими проектами, у тому числі на базі даного движка працюють форуми , , и .
Уразливість присутня в обробнику "ajax/render/widget_php", який допускає передачу довільного shell-коду через параметр "widgetConfig[code]" (просто передається код для запуску, навіть не потрібно нічого екранувати). Для атаки не потрібна аутентифікація у форумі. Проблема підтверджена у всіх випусках актуальної галузі vBulletin 5.x (розвивається з 2012 року), включаючи найсвіжіший випуск 5.5.4. Оновлення з виправленням поки що не підготовлено.
Додаток 1: Для версій 5.5.2, 5.5.3 та 5.5.4 патчі. Власникам більш старих випусків 5.x для усунення вразливості рекомендовано спочатку оновити свої системи до актуальних підтримуваних версій, але як обхідний спосіб захисту виклик «eval($code)» у коді функції evalCode із файлу includes/vb5/frontend/controller/bbcode.php.
Додаток 2: Вразливість вже активно для атак, и . Сліди атаки можна спостерігати в логах http-сервера за запитами рядка «ajax/render/widget_php».
Додаток 3: сліди використання обговорюваної проблеми у старих атаках, зважаючи на все, вразливість вже експлуатується близько трьох років. Крім того, скрипт, який можна використовувати для здійснення масових автоматизованих атак із пошуком уразливих систем через сервіс Shodan.
Джерело: opennet.ru