首页
论坛
专栏
课程

匿名黑客泄露vBulletin零日漏洞,波及全球数万站点

Editor 发布于 看雪学院 2019-09-25 17:52




vBulletin作为世界上广泛使用的互联网论坛,以其高效、稳定和安全享有超大用户群。


然而近日匿名黑客公布了论坛的一个关键零日漏洞,并且尚未被修补。


这可能导致论坛遭受一波黑客攻击。



漏洞详情



该漏洞严重程度为高危, 一方面是由于该漏洞可被利用执行远程代码攻击,另一方面是不需要进行身份验证,黑客甚至都无需注册论坛账号就可发起攻击。


vBulletin使用PHP语言编写,为互联网的100000多个网站提供支持,其中包括《财富》 500强和Alexa排名前100万的公司网站和论坛。在中国也有广大的客户群,例如蜂鸟网、51团购、海洋部落等线上论坛。


该漏洞存在于论坛软件包的内部文件中,通过URL参数接受配置,使黑客能够在没有安全检查的情况下将其解析到服务器上,从而能够在系统上注入命令并执行远程代码攻击。


这次的漏洞受影响的版本较多,跟据黑客公布的漏洞细节可以推断从vBulletin 5.0.0版本到最新的5.5.4都会受到影响。



尚未被修复,仍存在风险



此外,黑客还进行了POC测试,发布了基于python的漏洞,使任何人都可以更容易地在野外利用零日漏洞,这也让论坛受到攻击的风险更大。


目前已经向vBulletin的项目维护者通报了该漏洞的披露,希望他们能够在黑客开始利用漏洞之前先修补此漏洞。



*本文由看雪编辑 LYA 编译自 The Hacker News,转载请注明来源及作者。

分享到:
最新评论 (0)
登录后即可评论