информация о неисправленной (0-day) критической уязвимости (CVE-2019-16759) в проприетарном движке для создания web-форумов , позволяющей выполнить код на сервере через отправку специально оформленного POST-запроса. Для проблемы доступен рабочий эксплоит. vBulletin используется многими открытыми проектами, в том числе на базе данного движка работают форумы , , и .
Уязвимость присутствует в обработчике «ajax/render/widget_php», который допускает передачу произвольного shell-кода через параметр «widgetConfig[code]» (просто передаётся код для запуска, даже не нужно ничего экранировать). Для атаки не требуется аутентификация в форуме. Проблема подтверждена во всех выпусках актуальной ветки vBulletin 5.x (развивается с 2012 года), включая самый свежий выпуск 5.5.4. Обновление с исправлением пока не подготовлено.
Дополнение 1: Для версий 5.5.2, 5.5.3 и 5.5.4 патчи. Обладателям более старых выпусков 5.x для устранения уязвимости рекомендовано вначале обновить свои системы до актуальных поддерживаемых версий, но в качестве обходного способа защиты вызов «eval($code)» в коде функции evalCode из файла includes/vb5/frontend/controller/bbcode.php.
Дополнение 2: Уязвимость уже активно для атак, и . Следы атаки можно наблюдать в логах http-сервера по присутствию запросах строки «ajax/render/widget_php».
Дополнение 3: следы использования обсуждаемой проблемы в старых атаках, судя по всему, уязвимость уже эксплуатируется около трёх лет. Кроме того, скрипт, который можно использовать для совершения массовых автоматизированных атак с поиском уязвимых систем через сервис Shodan.
orisun: opennet.ru