Уязвимость в vBulletin позволяет создать административную учетную запись

image

Теги: уязвимость, учетная запись

По данным экспертов, эксплоит для бреши уже распространяется на хакерских форумах.

В широко распространенной системе управления форумами и контентом vBulletin была обнаружена уязвимость, позволяющая удаленному пользователю создать в ней новую учетную запись с правами администратора.

Напомним, что еще в августе текущего года представители компании-разработчика опубликовали уведомление, для пользователей vBulletin версий 4.1 и выше, а также 5 и выше. В зависимости от конкретной версии разработчики рекомендовали предпринять различные действия для устранения бреши, однако компания не стала уточнять, какое воздействие может оказать эксплуатация уязвимости.

Вместе с тем, как сообщают эксперты из Help Net Security, уязвимость позволяет создать административную учетную запись. В статье, автором которой является Барри Штейман (Barry Shteiman) из Imperva, предоставляются снимки экрана пользователя, web-сайт которого подвергся атаке в сентябре текущего года.

Среди прочего он продемонстрировал записи журнала Apache, из которых следует, что хакеры использовали для атаки сценарий "/install/upgrade.php":

По словам Штеймана, ему уже удалось обнаружить вредоносный код для эксплуатации бреши на нескольких хакерских форумах, что говорит о распространении эксплоита в открытом доступе. 


или введите имя

CAPTCHA