[Unpatched]vBulletin论坛的关键0天RCE漏洞公开

将该漏洞视为严重问题的原因之一，不仅是因为它可以远程利用，而且不需要身份验证。

vBulletin是用PHP编写的一个广泛使用的专有互联网论坛软件包，支持超过10万个互联网网站，包括《财富》500强和Alexa Top 100万公司网站和论坛。

根据完整披露邮件列表上公布的详细信息，黑客声称发现了一个远程代码执行漏洞，该漏洞似乎会影响vBulletin 5.0.0版，直到最新的5.5.4版。

《黑客新闻》已独立证实，该漏洞如前所述有效，并影响最新版本的vBulletin软件，最终导致数千个论坛网站面临黑客攻击的风险。

该漏洞存在于论坛软件包的内部小部件文件通过URL参数接受配置，然后在服务器上解析配置，而无需进行适当的安全检查，从而允许攻击者在系统上注入命令和远程执行代码。


作为概念证明，黑客还发布了一个基于python的漏洞攻击，可以让任何人更容易利用野外的零日。

到目前为止，尚未为该漏洞分配通用漏洞和暴露（CVE）编号。

《黑客新闻》还向vBulletin项目维护人员通报了漏洞泄露的情况，并希望他们在黑客开始攻击vBulletin安装之前修补安全问题。

另一位网络安全研究人员分析了该漏洞的核心原因，并在《黑客新闻》发表文章后不久发布了详细信息。

与此同时，一名GitHub用户还发布了一个简单的脚本，任何人都可以使用Shodan搜索引擎扫描互联网，找到vBulletin网站，并自动检查易受攻击的网站。

一旦收到vBulletin维护人员的回复，我们将更新文章并通过社交媒体通知读者。

更新—；黑客积极利用vBulletin Zero Day；补丁现在可用

据多个与黑客新闻有关的信息安全社区消息来源称，各种黑客组织和个人窃听者已经开始扫描互联网，以攻击易受攻击的vBulletin网站。

在黑客新闻爆出这一消息并告知vBulletin团队零天公开披露（现在被追踪为CVE-2019-16759）后，项目维护人员今天发布了vBulletin版本5.5.2、5.5.3和5.5.4的安全补丁。