vBulletin再修复高危RCE和SQL注入漏洞

上个月末，vBulletin刚发布了一个针对高危远程代码执行漏洞的补丁，又在最近发布了一个全新安全补丁，针对了软件中的另外3个严重漏洞。

此次牵涉的漏洞影响vBulletin 5.5.4及以前的版本，最终可导致远程攻击者完全控制目标服务器或窃取敏感用户信息。

vBulletin是一款全球范围内都广泛使用的论坛软件，由PHP编写，目前有超过10万个网站都在使用，其中不乏《财富》500强和Alexa前100万公司的网站和论坛。

安全研究员Egidio Romano发现了第一个漏洞，被标记为CVE-2019-17132，是一个远程代码执行漏洞，其他两个是SQL注入漏洞，被分配了一个统一的编号CVE-2019-17271。

RCE和SQL注入

其中RCE漏洞存在于vBulletin论坛处理用户更新头像（用户个人资料中的图标或图形)请求的方式上，远程攻击者可借此往目标服务器注入恶意参数，执行任意PHP代码。

但是，需要注意的是，在默认安装的情况下，这个漏洞在vBulletin论坛中是不可利用的，只有在网站管理员启用“将头像保存为文件”这一选项时才能生效。

Romano还针对这个RCE漏洞发布了一个PoC脚本。

另外两个漏洞是in-band（可直接获取敏感信息）和基于时间的SQL注入漏洞，它们存在于两个独立的端点上，可让具有某些权限的管理员从数据库中读取敏感数据。

由于这两个SQL注入漏洞不能直接被任何注册用户所利用，且需要特殊的权限，所以vBulletin论坛的管理员和用户不必惊慌。

安全补丁发布

就在上周9月30日，Romano负责地向vBulletin维护团队报告了所有的漏洞，团队很快承认了漏洞存在，并发布了对应的安全补丁。

• vBulletin 5.5.4 Patch Level 2

• vBulletin 5.5.3 Patch Level 2

• vBulletin 5.5.2 Patch Level 2

强烈建议所有vBulletin论坛管理员抢在黑客开始利用漏洞攻击网站之前打上安全补丁，否则就可能像上周有人利用vBulletin漏洞窃取了近24.5万名Comodo论坛用户的登录信息一样。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://thehackernews.com/2019/10/vBulletin-hacking-exploit.html