В vBulletin SEO Plugin обнаружена серьезная уязвимость

17:13 / 12 января, 2015

vBulletin SEO уязвимость компрометация системы

Брешь позволяет удаленному пользователю скомпрометировать систему.

<p>Пользователи vBulletin с подключенным плагином vBSEO оказались подвержены опасной уязвимости. Специалисты компании Sucuri <a href="http://blog.sucuri.net/2015/01/serious-vulnerability-on-vbseo.html" >обнаружили</a> брешь в дополнении к популярному форумному движку, которая позволяет удаленному пользователю выполнить произвольный код на целевой системе.</p>

<p>Уязвимость получила идентификатор CVE-2014-9463. Поскольку создатели плагина прекратили его разработку, исправление вряд ли будет выпущено.</p>

<p>Как сообщили разработчики vBulletin, уязвимости подвержена последняя версия vBSEO и, возможно, более ранние выпуски плагина. Поскольку разработчики дополнения не отвечали на запросы от родительской компании vBulletin Internet Brands, администраторы решили уведомить всех пользователей о существующей уязвимости.</p>

<p>Проанализировав брешь, эксперты Sucuri порекомендовали полностью удалить плагин. Также можно удалить несколько строк кода из файла vbseo/includes/functions_vbseo_hook.php, но неизвестно, как это повлияет на работоспособность плагина.</p>

<p>С описанием уязвимости можно ознакомиться <a href="http://www.securitylab.ru/vulnerability/469612.php" >здесь</a>.</p>