Эксплойт для уязвимости в ПО vBulletin опубликован в открытом доступе

Эксплойт для уязвимости в ПО vBulletin опубликован в открытом доступе

Ее эксплуатация позволяет злоумышленникам вводить команды и удаленно выполнять код на системе.

В Сети опубликована информация и PoC-код для критической уязвимости в одной из популярных программ для интернет-форумов vBulletin. Данная проблема представляет собой серьезную опасность, поскольку не только может быть проэксплуатирована удаленно, но также для этого не требуется проверка аутентификации.

vBulletin — широко используемый форумный движок, написанный на языке PHP. На базе vBulletin работают более чем 100 тыс. web-сайтов в интернете, включая сайты компаний, которые входят в рейтинг Fortune 500 и ТОП 1 млн по Alexa.

Согласно данным, опубликованным на сайте Full Disclosure, критическая уязвимость удаленного выполнения кода затрагивает vBulletin версии от 5.0.0 до 5.5.4. Уязвимость заключается в том, что внутренний файл виджета программного пакета форума принимает конфигурации через параметры URL-адреса и затем анализирует их на сервере без надлежащих проверок безопасности, позволяя злоумышленникам вводить команды и удаленно выполнять код на системе.

Также доступен написанный на Python PoC-код для эксплуатации данной уязвимости. Разработчики проекта vBulletin уже проинформированы об обнаруженной уязвимости.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!