В vBulletin исправлена опасная уязвимость
Злоумышленники могут осуществить реверс-инжиниринг патча и разработать эксплоит.
Разработчики проекта vBulletin выпустили исправление для уязвимости в версиях vBulletin 5 Connect до 5.5.2. Проблема ( CVE-2020-12720 ) была обнаружена ИБ-экспертом Чарльзом Фолом (Charles Fol), который пообещал предоставить подробности о ней на конференции SSTIC в следующем месяце.
vBulletin является популярным ПО, используемым более чем на 100 тыс. web-сайтов, в том числе на форумах множества компаний и организаций. По мнению экспертов, после раскрытия уязвимости хакеры начнут интенсивнее атаковать ресурсы на базе уязвимых версий ПО. Злоумышленники могут осуществить реверс-инжиниринг патча и разработать эксплоит.
Уязвимость существует из-за некорректного контроля доступа и, по словам Фола, является «критической». Администраторы форумов должны установить исправления для следующих версий: 5.6.1 Patch Level 1, 5.6.0 Patch Level 1 и 5.5.6 Patch Level 1.
О существовании PoC-эксплоита для уязвимости или реальных атаках с ее эксплуатацией разработчикам vBulletin ничего не известно.