.jpg)
?vBulletin組件介紹
vbulletin是論壇和社區(qū)發(fā)布軟件的全球領(lǐng)導(dǎo)者。其安全性,強(qiáng)大的管理功能和速度,可為40,000多個(gè)在線社區(qū)提供服務(wù)等特點(diǎn)備受客戶青睞。很多大型論壇都選擇vbulletin作為自己的社區(qū)。從vbulletin官方網(wǎng)站所展示的客戶列表可以得知,著名的游戲制作公司ea、著名的游戲平臺(tái)steam、日本大型跨國(guó)企業(yè)sony、以及美國(guó)nasa等均為其客戶,vbulletin高效,穩(wěn)定,安全,在中國(guó)也有很多大型客戶,比如蜂鳥(niǎo)網(wǎng),51團(tuán)購(gòu),海洋部落等在線上萬(wàn)人的論壇都用vbulletin。
漏洞描述
2020年8月11日,深信服安全團(tuán)隊(duì)跟蹤到一則vBulletin 5.x版本遠(yuǎn)程代碼執(zhí)行漏洞的0-day信息,該0-day漏洞是對(duì)2019年vBulletin CVE-2019-16759漏洞補(bǔ)丁的繞過(guò),漏洞定級(jí)為高危。此次漏洞影響vBulletin 5.x系列所有版本,且官方尚未修復(fù)該漏洞以及給出解決方案,遠(yuǎn)程攻擊者能夠通過(guò)精心構(gòu)造的惡意參數(shù),執(zhí)行任意代碼,控制目標(biāo)服務(wù)器或竊取敏感用戶信息。
漏洞復(fù)現(xiàn)
通過(guò)在vBulletin 5.x版本復(fù)現(xiàn)該漏洞,執(zhí)行echo命令,效果如圖:
影響范圍
通過(guò)網(wǎng)絡(luò)空間搜索引擎可以得知,在全球范圍內(nèi),對(duì)互聯(lián)網(wǎng)開(kāi)放的vBulletin網(wǎng)站有近3萬(wàn)個(gè),其中較多網(wǎng)站為國(guó)際大型企業(yè)所維護(hù)的國(guó)際社區(qū)論壇,所以該漏洞影響面較大。
目前受影響的版本為:vBulletin 5.x,即vBulletin 5系列的全版本均受影響。?
修復(fù)建議
-
vBulletin官方尚未修復(fù)該漏洞,請(qǐng)受該漏洞影響的用戶關(guān)注vBulletin官網(wǎng),獲取最新修復(fù)補(bǔ)丁:https://www.vbulletin.com/
-
臨時(shí)解決方案:vBulletin所有者可以通過(guò)以下步驟對(duì)論壇的設(shè)置進(jìn)行以下修改來(lái)防止利用:
.png)
