vBulletin 5.x多个高危漏洞安全通告
发布时间 2019-10-11漏洞编号和级别
CVE编号:CVE-2019-17271,危险级别:高危,CVSS分值:官方未评定
CVE编号:CVE-2019-17132,危险级别:高危,CVSS分值:官方未评定
影响版本
vBulletin版本5.0.0到最新的5.5.4
漏洞概述
vBulletin是美国Internet Brands和vBulletin Solutions公司共同开发的一款开源的商业Web论坛程序。
近日,vBulletin 官方发布了一个全新安全补丁,该补丁修复了CVE编号为CVE-2019-17271的SQL注入漏洞,以及CVE编号为CVE-2019-17132的远程代码执行漏洞。
CVE-2019-17271 SQL注入漏洞
SQL注入漏洞是两个“read in-band and time-based”的SQL注入问题,它们存在于两个独立的端点上,允许具有受限制特权的管理员从数据库读取敏感数据。
(1)通过“where”参数的键传递到“ajax/api/hook/getHookList”端点的用户输入数据,在后台进行SQL查询之前没有经过正确验证与过滤。远程攻击者可以利用这一点,通过“read in-band”SQL注入攻击从数据库中读取敏感数据。但是成功利用此漏洞需要用户具有“canadminproducts”或“canadminstyles”的管理员权限,任意注册的用户无该权限。
(2)通过“where”参数的键传递到“ajax/api/widget/getWidgetList”端点的用户输入数据,在后台进行SQL查询之前没有经过正确验证与过滤。远程攻击者可以利用这一点,通过“time-based”SQL注入攻击从数据库中读取敏感数据。但是成功利用此漏洞需要用户具有”canusesitebuilder”的管理员权限,任意注册的用户无该权限。
CVE-2019-17132 远程代码执行漏洞
vBulletin forum处理用户更新头像(用户的个人资料、图标或图形表示)请求时存在远程代码执行漏洞,该漏洞产生的原因是通过“data[extension]”和“data[filedata]”参数传递到”ajax/api/User/updateAvatar”端点的用户输入数据,在用于更新用户的avatar之前没有得到正确验证。这可以用来注入和执行任意的PHP代码。但是成功利用此漏洞需要管理员启用“保存头像为文件”选项(该选项默认被禁用)。
通过网络空间搜索引擎可以得知,在全球范围内,对互联网开放的vBulletin网站有近3万个,其中较多网站为国际大型企业所维护的国际社区论坛,所以该漏洞影响面较大。
漏洞验证
CVE-2019-17132
POC:https://packetstormsecurity.com/files/154759/vBulletin-5.5.4-Remote-Code-Execution.html。
修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4423646-vbulletin-5-5-x-5-5-2-5-5-3-and-5-5-4-security-patch-level-2。
参考链接
https://packetstormsecurity.com/files/154758/vBulletin-5.5.4-SQL-Injection.html
https://packetstormsecurity.com/files/154759/vBulletin-5.5.4-Remote-Code-Execution.html
京公网安备11010802024551号