vBulletin 0day漏洞安全通告
发布时间 2019-09-25漏洞编号和级别
CVE编号:暂无,危险级别:高危,CVSS分值:官方未评定
影响版本
vBulletin版本5.0.0到最新的5.5.4
漏洞概述
vBulletin是美国Internet Brands和vBulletin Solutions公司共同开发的一款开源的商业Web论坛程序。
一位匿名安全研究人员在受欢迎的论坛软件vBulletin中发现未修补的0day并披露了相关PoC。根据对已发布代码的分析,该0day允许攻击者在运行vBulletin实例的服务器上执行Shell命令而无需具有目标论坛的账户。也就是说这是一个“预身份验证的远程代码执行”漏洞,是能够对 web 平台造成最严重影响的安全缺陷类型之一。
尽管vBulletin 是一款商用产品,但它仍然是最热门的 web 论坛软件包,其市场份额要大于多种开源的解决方案如 phpBB、XenForo、Simple Machines Forum、MyBB等。由于vBulletin被超过10万个在线网站所使用,因此该漏洞的潜在影响范围极大。
漏洞验证
POC:https://seclists.org/fulldisclosure/2019/Sep/31。
修复建议
vBulletin开发团队尚未对此事件进行回应。
参考链接
京公网安备11010802024551号