Уязвимость в vBulletin позволяет создать административную учетную запись

В широко распространенной системе управления форумами и контентом vBulletin была обнаружена уязвимость, позволяющая удаленному пользователю создать в ней новую учетную запись с правами администратора.

Напомним, что еще в августе текущего года представители компании-разработчика опубликовали уведомление , для пользователей vBulletin версий 4.1 и выше, а также 5 и выше. В зависимости от конкретной версии разработчики рекомендовали предпринять различные действия для устранения бреши, однако компания не стала уточнять, какое воздействие может оказать эксплуатация  уязвимости .

Вместе с тем, как  сообщают  эксперты из Help Net Security, уязвимость позволяет создать административную учетную запись. В статье, автором которой является Барри Штейман (Barry Shteiman) из Imperva, предоставляются снимки экрана пользователя, web-сайт которого подвергся атаке в сентябре текущего года.

Среди прочего он продемонстрировал записи журнала Apache, из которых следует, что хакеры использовали для атаки сценарий "/install/upgrade.php":

По словам Штеймана, ему уже удалось обнаружить вредоносный код для эксплуатации бреши на нескольких хакерских форумах, что говорит о распространении эксплоита в открытом доступе.