匿名黑客洩露vBulletin零日漏洞,波及全球數萬站點

Editor發表於2019-09-25


匿名黑客洩露vBulletin零日漏洞,波及全球數萬站點


vBulletin作為世界上廣泛使用的網際網路論壇,以其高效、穩定和安全享有超大使用者群。


然而近日匿名黑客公佈了論壇的一個關鍵零日漏洞,並且尚未被修補。


這可能導致論壇遭受一波黑客攻擊。



漏洞詳情



該漏洞嚴重程度為高危, 一方面是由於該漏洞可被利用執行遠端程式碼攻擊,另一方面是不需要進行身份驗證,黑客甚至都無需註冊論壇賬號就可發起攻擊。


vBulletin使用PHP語言編寫,為網際網路的100000多個網站提供支援,其中包括《財富》 500強和Alexa排名前100萬的公司網站和論壇。在中國也有廣大的客戶群,例如蜂鳥網、51團購、海洋部落等線上論壇。


該漏洞存在於論壇軟體包的內部檔案中,通過URL引數接受配置,使黑客能夠在沒有安全檢查的情況下將其解析到伺服器上,從而能夠在系統上注入命令並執行遠端程式碼攻擊。


這次的漏洞受影響的版本較多,跟據黑客公佈的漏洞細節可以推斷從vBulletin 5.0.0版本到最新的5.5.4都會受到影響。



尚未被修復,仍存在風險



此外,黑客還進行了POC測試,釋出了基於python的漏洞,使任何人都可以更容易地在野外利用零日漏洞,這也讓論壇受到攻擊的風險更大。


目前已經向vBulletin的專案維護者通報了該漏洞的披露,希望他們能夠在黑客開始利用漏洞之前先修補此漏洞。



*本文由看雪編輯 LYA 編譯自 The Hacker News,轉載請註明來源及作者。

相關文章