Разработчики популярного движка для интернет-форумов vBulletin выпустили обновление, исправляющее опасные уязвимости в программном обеспечении. Проблемы затрагивают версии vBulletin 5.5.4 и выше, а их эксплуатация позволяет злоумышленникам удаленно перехватить контроль над целевыми web-серверами и украсть конфиденциальную информацию.
Уязвимости обнаружил исследователь безопасности Эгидио Романо (Egidio Romano). Первая проблема (CVE-2019-17132) представляет собой уязвимость удаленного выполнения кода. Она связана с тем, что при обработке запросов пользователей на обновление аватаров для своих профилей, значков или графических элементов в vBulletin также позволяет злоумышленнику удаленно внедрить и выполнить произвольный PHP-код на целевом сервере с помощью неочищенных параметров. Данная уязвимость может быть проэксплуатирована при условии включенной опции «сохранять аватары в виде файлов». Романо также опубликовал в Сети PoC-код для данной уязвимости.
Две другие проблемы (объединены под общим идентификатором CVE-2019-17271) предоставляют возможность внедрить SQL-код и позволяют администраторам с ограниченными привилегиями получить доступ к важной информации в базе данных.
Администраторам сайтов настоятельно рекомендуется установить официальные патчи vBulletin.
• Exploit: http://karmainsecurity.com/pocs/CVE-2019-17132
Уязвимости обнаружил исследователь безопасности Эгидио Романо (Egidio Romano). Первая проблема (CVE-2019-17132) представляет собой уязвимость удаленного выполнения кода. Она связана с тем, что при обработке запросов пользователей на обновление аватаров для своих профилей, значков или графических элементов в vBulletin также позволяет злоумышленнику удаленно внедрить и выполнить произвольный PHP-код на целевом сервере с помощью неочищенных параметров. Данная уязвимость может быть проэксплуатирована при условии включенной опции «сохранять аватары в виде файлов». Романо также опубликовал в Сети PoC-код для данной уязвимости.
Две другие проблемы (объединены под общим идентификатором CVE-2019-17271) предоставляют возможность внедрить SQL-код и позволяют администраторам с ограниченными привилегиями получить доступ к важной информации в базе данных.
Администраторам сайтов настоятельно рекомендуется установить официальные патчи vBulletin.
• Exploit: http://karmainsecurity.com/pocs/CVE-2019-17132