vBulletin远程命令执行漏洞安全通告
发布时间 2019-11-29漏洞编号和级别
CVE编号:CVE-2019-16759,危险级别:严重,CVSS分值:9.8
影响产品
vBulletin vBulletin 5.*,<=5.5.4
漏洞概述
vBulletin是美国InternetBrands和vBulletinSolutions公司的一款基于PHP和MySQL的开源Web论坛程序。
vBulletin 5.x版本至5.5.4版本中存在远程命令执行漏洞,攻击者可借助‘widgetConfig[code]’参数利用该漏洞执行命令。
漏洞验证
EXP: https://cxsecurity.com/issue/WLB-2019090182。
修复建议
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://www.vbulletin.com/。
参考链接
https://packetstormsecurity.com/files/154623/vBulletin-5.x-0-Day-Pre-Auth-Remote-Command-Execution.html
京公网安备11010802024551号