上个月末,vBulletin刚发布了一个针对高危远程代码执行漏洞的补丁,又在最近发布了一个全新安全补丁,针对了软件中的另外3个严重漏洞。
此次牵涉的漏洞影响vBulletin 5.5.4及以前的版本,最终可导致远程攻击者完全控制目标服务器或窃取敏感用户信息。
vBulletin是一款全球范围内都广泛使用的论坛软件,由PHP编写,目前有超过10万个网站都在使用,其中不乏《财富》500强和Alexa前100万公司的网站和论坛。
安全研究员Egidio Romano发现了第一个漏洞,被标记为CVE-2019-17132,是一个远程代码执行漏洞,其他两个是SQL注入漏洞,被分配了一个统一的编号CVE-2019-17271。
RCE和SQL注入
其中RCE漏洞存在于vBulletin论坛处理用户更新头像(用户个人资料中的图标或图形)请求的方式上,远程攻击者可借此往目标服务器注入恶意参数,执行任意PHP代码。
但是,需要注意的是,在默认安装的情况下,这个漏洞在vBulletin论坛中是不可利用的,只有在网站管理员启用“将头像保存为文件”这一选项时才能生效。
Romano还针对这个RCE漏洞发布了一个PoC脚本。
另外两个漏洞是in-band(可直接获取敏感信息)和基于时间的SQL注入漏洞,它们存在于两个独立的端点上,可让具有某些权限的管理员从数据库中读取敏感数据。
由于这两个SQL注入漏洞不能直接被任何注册用户所利用,且需要特殊的权限,所以vBulletin论坛的管理员和用户不必惊慌。
安全补丁发布
就在上周9月30日,Romano负责地向vBulletin维护团队报告了所有的漏洞,团队很快承认了漏洞存在,并发布了对应的安全补丁。
vBulletin 5.5.4 Patch Level 2
vBulletin 5.5.3 Patch Level 2
vBulletin 5.5.2 Patch Level 2
强烈建议所有vBulletin论坛管理员抢在黑客开始利用漏洞攻击网站之前打上安全补丁,否则就可能像上周有人利用vBulletin漏洞窃取了近24.5万名Comodo论坛用户的登录信息一样。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://thehackernews.com/2019/10/vBulletin-hacking-exploit.html