热门论坛软件 vBulletin 被曝存在两个 0day 漏洞,已遭公开
翻译:360代码卫士团队
意大利安全公司 TRUEL IT的安全研究员和一名未具名的独立安全研究人员发现并披露了热门互联网论坛软件 vBulletin 中的两个未修复的紧急 0day 漏洞。其中一个漏洞可导致远程攻击者在最新版 vBulletin 应用服务器中执行恶意代码。
vBulletin 是一款使用广泛的基于 PHP 和 MySQL 数据库服务器的专有互联网论坛软件包。它为互联网上超过10万个网站提供动力支持,其中不乏财富500强、Aexa 排名前100万的公司网站和论坛。
这名未具名独立安全研究员通过Beyond Security 公司的SecuriTeam安全披露项目披露了这些漏洞的详情。
这些漏洞影响 vBulletin 论坛软件版本 5且目前尚未修复。Beyond Security 公司表示,自2017年11月21日起就试图联系 vBulletin,但并未得到任何回复。
存在于 vBulletin 中的第一个漏洞是一个文件包含问题,可导致远程代码执行,允许远程攻击者包含来自 vBulletin 服务器的文件并且执行任意 PHP 代码。
未经验证的攻击者可通过向 index.php发出包含 “routestring=” 参数的GET 请求触发文件包含漏洞,最终导致攻击者“向安装在 Windows 操作系统上的 vBulletin 服务器创建一个特殊构造的请求并包含 web 服务器中的任意文件。”
研究员还提供了 PoC 利用代码来展示漏洞情况。该漏洞尚未获得CVE编号。
vBulletin 论坛软件版本5中出现的第二个漏洞是CVE-2017-17672,它是一个反序列化问题。未经验证的攻击者能利用它删除任意文件甚至“在某些情况下”能执行恶意代码。
该漏洞的产生是因为由用户提供的输入中未安全使用 PHP 的unserialize(),从而允许未经验证的攻击者删除任意文件并可能在 vBulletin 中执行任意代码。
公开暴露的 API 即vB_Library_Template的cacheTemplates() 函数能从数据库中的一系列给定模板中提取信息,并将它们存储在一个缓存变量中。
为了说明漏洞的严重性,安全公告中除了公布技术细节外,还包含了PoC 利用代码。
希望厂商能在黑客开始利用这两个 0day 漏洞之前尽快发布补丁。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://thehackernews.com/2017/12/vbulletin-forum-hacking.html