公开披露了一个新的vBulletin 0天RCE漏洞和漏洞

今天早些时候，一名安全研究人员公开披露了一个未经修补的关键零日远程代码执行漏洞的详细信息和概念验证利用代码，该漏洞影响了广泛使用的internet forum软件社区论坛解决方案它已经在野外被积极开发。

vBulletin是一个广泛使用的专有互联网论坛软件包，基于PHP和MySQL数据库服务器，支持超过10万个互联网网站，包括《财富》500强和Alexa Top 100万公司网站和论坛。

去年9月，另一位匿名安全研究人员公开披露了vBulletin中一个当时为零天的RCE漏洞，该漏洞被确定为CVE-2019-16759，并获得了9.8的严重级别，允许攻击者在远程服务器上执行恶意命令，而无需任何身份验证即可登录论坛。

CVE-2019-16759披露一天后，vBulletin团队发布了解决该问题的安全补丁，但事实证明，该补丁不足以阻止漏洞的利用。

绕过CVE-2019-16759 RCE缺陷的修补程序

安全研究员阿米尔·埃特马迪耶（Zenofex）发现并公开发布的最新发布的零日是CVE-2019-16759的旁路。在发布这篇博文时，该漏洞没有收到任何CVE标识符。

最新的零日漏洞应该被视为一个严重问题，因为它可以远程利用，不需要身份验证。使用单个单行命令的攻击代码可以很容易地利用它，从而在最新的vBulletin软件中远程执行代码。


据研究人员称，CVE-2019-16759的补丁没有解决“widget_tabbedcontainer_tab_panel”模板中存在的问题，即加载用户控制的子模板和加载子模板的能力，它从一个单独命名的值中获取一个值，并将其放入一个名为“widgetConfig”的变量中，有效地允许研究人员绕过CVE-2019-16759的补丁。

研究人员还发布了三个概念验证，利用多种语言编写的有效负载，包括Bash、Python和Ruby。

黑客积极利用vBulletin Zero Day

PoC攻击代码发布后不久，黑客开始利用零日攻击vBulletin网站。

据DefCon和Black Hat security conferences的创始人杰夫·莫斯（Jeff Moss）称，DefCon论坛也在漏洞被披露3小时后遭到了攻击。

“昨天@Zenofex发布了一个新的VBulletin Zero Day，显示CVE-2019-16759补丁在三小时内不完整https://forum.defcon.org被袭击了，但我们已经准备好了。禁用PHP渲染以保护自己，直到修补！，“莫斯说。

官方vBulletin贴剂和缓解措施

The vBulletin team responded to the publicly released zero-day flaw immediately and released a new security patch that disables the PHP module in vBulletin software to address the issue, assuring its users that it will be removed entirely in the future release of vBulletin 5.6.4.

论坛维护人员建议开发人员考虑所有版本的vBuffin易受攻击，并升级他们的网站，尽快运行VBuffin 5.5.2。开发人员可以在支持论坛中查看快速概览：升级vBulletin Connect，以了解有关升级的更多信息。

尽管《黑客新闻》强烈建议用户和开发者将论坛升级到新的vBulletin版本，但那些无法立即更新的用户可以通过禁用论坛内的PHP小部件来缓解新的零日问题，为此：

• 转到vBulletin管理员控制面板，单击左侧菜单中的“设置”，然后单击下拉菜单中的“选项”。
• 选择“常规设置”，然后单击“编辑设置”
• 查找“禁用PHP、静态HTML和广告模块呈现”，设置为“是”
• 点击“保存”

请注意，这些更改可能会破坏某些功能，但会缓解问题，直到您计划应用官方安全补丁。