Эксплойт для уязвимости в ПО vBulletin опубликован в открытом доступе

Эксплойт для уязвимости в ПО vBulletin опубликован в открытом доступе

Ее эксплуатация позволяет злоумышленникам вводить команды и удаленно выполнять код на системе.

image

В Сети опубликована информация и PoC-код для критической уязвимости в одной из популярных программ для интернет-форумов vBulletin. Данная проблема представляет собой серьезную опасность, поскольку не только может быть проэксплуатирована удаленно, но также для этого не требуется проверка аутентификации.

vBulletin — широко используемый форумный движок, написанный на языке PHP. На базе vBulletin работают более чем 100 тыс. web-сайтов в интернете, включая сайты компаний, которые входят в рейтинг Fortune 500 и ТОП 1 млн по Alexa.

Согласно данным, опубликованным на сайте Full Disclosure, критическая уязвимость удаленного выполнения кода затрагивает vBulletin версии от 5.0.0 до 5.5.4. Уязвимость заключается в том, что внутренний файл виджета программного пакета форума принимает конфигурации через параметры URL-адреса и затем анализирует их на сервере без надлежащих проверок безопасности, позволяя злоумышленникам вводить команды и удаленно выполнять код на системе.

Также доступен написанный на Python PoC-код для эксплуатации данной уязвимости. Разработчики проекта vBulletin уже проинформированы об обнаруженной уязвимости.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle