25/09/19
В Сети опубликована информация и PoC-код для критической уязвимости в одной из популярных программ для интернет-форумов vBulletin. Данная проблема представляет собой серьезную опасность, поскольку не только может быть проэксплуатирована удаленно, но также для этого не требуется проверка аутентификации.
vBulletin — широко используемый форумный движок, написанный на языке PHP. На базе vBulletin работают более чем 100 тыс. web-сайтов в интернете, включая сайты компаний, которые входят в рейтинг Fortune 500 и ТОП 1 млн по Alexa.
Согласно данным, опубликованным на сайте Full Disclosure, критическая уязвимость удаленного выполнения кода затрагивает vBulletin версии от 5.0.0 до 5.5.4. Уязвимость заключается в том, что внутренний файл виджета программного пакета форума принимает конфигурации через параметры URL-адреса и затем анализирует их на сервере без надлежащих проверок безопасности, позволяя злоумышленникам вводить команды и удаленно выполнять код на системе.
Также доступен написанный на Python PoC-код для эксплуатации данной уязвимости. Разработчики проекта vBulletin уже проинформированы об обнаруженной уязвимости.
