开源论坛程序 vBulletin 被曝严重且详情不明的漏洞，请立即修复

Mohit Kumar 代码卫士 2022-04-06

聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

如果你正在运行基于 vBulletin 软件的在线论坛，那么应确保已安装旨在修复严重漏洞的新补丁。。

vBulletin 项目的维护人员最近发布了一个重要的补丁更新但并未披露任何关于该底层安全漏洞 (CVE-2020-12720) 的信息。

vBulletin 由 PHP 语言编写而成，是一款应用广泛的互联网论坛软件，为互联网上超过10万个网站提供服务，其中包含某些财富500强公司等顶级公司的论坛。

鉴于vBulletin 同时也是黑客的最爱之一，因此不披露漏洞详情有助于很多网站、服务器和用户数据遭攻陷之前可以应用补丁。

然而，和之前一样，研究人员和黑客已经开始逆向工程该软件补丁以定位并理解该漏洞。美国国家漏洞库 (NVD) 也正在分析该缺陷并表示这个严重的缺陷源自访问控制不当，影响版本如下：

vBulletin表示，“如果你正在使用 5.5.2 之前的 vBuletin 5 Connect 版本，则应尽快更新。”

尽管在本文发布之时尚未出现 PoC 或者和该漏洞是否遭利用的信息，但它们应该很快就会出现。

同时，Ambionics 公司的安全工程师 Charles Fol 证实称他发现并负责任地将该漏洞告知 vBulletin 团队，并打算在预定下个月举办的 SSTIC 大会上披露更多相关信息。

建议论坛管理员尽快下载并安装如下软件版本：

原文链接

https://thehackernews.com/2020/05/vBulletin-access-vulnerability.html

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

点个 “在看” ，加油鸭~