vBulletin发布了针对新RCE和SQLi漏洞的补丁更新

上月末，vBulletin发布了一个针对关键零天远程代码执行漏洞的修补程序，之后，vBulletin最近发布了一个新的安全修补程序更新，解决了论坛软件中另外3个高严重性漏洞。



vBulletin是用PHP编写的一个广泛使用的专有互联网论坛软件包，支持超过10万个互联网网站，包括《财富》500强和Alexa Top 100万公司网站和论坛。

应用程序安全研究人员Egidio Romano发现，第一个漏洞被追踪为CVE-2019-17132，是一个远程代码执行漏洞，而另外两个是SQL注入问题，都分配了一个ID为CVE-2019-17271。

vBulletin RCE和SQLi缺陷

RCE漏洞存在于vBulletin论坛处理用户请求更新其个人资料、用户图标或图形表示的化身的方式中，允许远程攻击者通过未初始化的参数在目标服务器上注入和执行任意PHP代码。

但是，应该注意的是，在vBulletin论坛的默认安装中无法利用此漏洞，而在网站管理员启用“将化身另存为文件”选项时，则可能利用此漏洞。

Romano还发布了一个针对该RCE漏洞的公开概念验证漏洞。

另外两个漏洞是带内读取和基于时间的SQL注入问题，它们位于两个单独的端点中，可能允许具有受限权限的管理员从数据库中读取敏感数据，否则他们可能无法访问这些数据。


由于这两个SQL注入缺陷不能被任何注册用户利用，并且需要特殊权限，vBulletin论坛管理员和用户不必惊慌失措。

安全补丁发布

就在上周9月30日，Romano负责地向vBulletin项目维护人员报告了所有漏洞，团队承认了他的发现，并发布了以下安全补丁更新，以解决报告的漏洞。

• vBulletin 5.5.4 2级贴剂
• vBulletin 5.5.3 2级贴剂
• vBulletin 5.5.2二级贴剂

强烈建议管理员在黑客开始利用漏洞攻击论坛用户之前应用安全补丁—；就像上周有人窃取了近245000名Comodo论坛用户的登录信息一样，该公司未能及时应用可用补丁。