vBulletin 是一款强大,灵活并可完全根据自己的需要定制的论坛程序套件。尽管是商业产品,但从市场份额和实际使用量上看,vBulletin还是当今最受欢迎的Web论坛软件包。
当地时间 24 号,据外媒报道,有匿名安全研究员在公开邮件列表中发布了 vBulletin的一个 0day 漏洞详情。该漏洞允许攻击者在不拥有目标论坛账户的情况下,在运行vBulletin的服务器上执行Shell命令,是一个无需身份验证的远程代码执行漏洞。
漏洞公开发布之初,尚不清楚匿名研究人员是否向vBulletin团队报告了该漏洞, 或者vBulletin团队是否未能及时解决此问题,从而促使研究人员公开发布。该0day 仅影响 vBulletin 5.x 版本。
在此后的几天内,有组织报告发现有在野攻击者试图利用CVE-2019-16759进行攻击。一些vBulletin论坛的管理员也反映在该漏洞披露后,管理的网站上出现了web shell。
当地时间 26 日,vBulletin 开发者发布了针对该漏洞的补丁。请相关用户参考以下安全建议进行修复。
参考链接:
[2] 公开邮件列表
https://seclists.org/fulldisclosure/2019/Sep/31
[4] 官方通告
vBulletin 官方已发布针对以下版本的安全补丁,请前往 https://www.vbulletin.com/en/customer/account/login/?goto=aHR0cHM6Ly9tZW1iZXJzLnZidWxsZXRpbi5jb20vcGF0Y2hlcy5waHA%3D 下载:
建议使用5.5.2之前版本的用户尽快升级到受保护的版本。
评论已关闭。