vBulletin零時差漏洞修補不全，遭研究人員公開攻擊手法

去年知名網路論壇軟體vBulletin被爆有零時差遠端程式碼執行（RCE）漏洞，雖然維護單位已釋出修補程式，但有研究人員在未通知vBulletin的情況下，逕自公開官方修補不全的問題，並公布新的攻擊程式。

編號CVE-2019-16759的漏洞首先於2019年9月23日曝光，可讓攻擊者遠端執行PHP程式碼，影響vBulletin 5.0到5.4版。這項漏洞攻擊之簡易而被戲稱為bugdoor，其實相當危險，CVSS 3.0風險評分達到9.8分。不過vBulletin的維護單位3天後即釋出了修補程式。

不過代號zenofex的研究人員Amir Etemadieh本周日指出，即使vBulletin釋出了2個版本修補程式，他仍然在vBulletin Connect找到零時差漏洞，影響vBulletin Connect 5.6.0到5.6.2版。他並在未通知vBulletin小組情況下公開了Python、Ruby及Bash等語言編寫的攻擊程式，分別上傳到群組郵件及Github上，雖然同時也提供從vBulletin選單中，關閉Python以防止PHP攻擊程式的方法。

和Wordpress、Joomla等內容管理平臺不同，vBulletin專門用於社群論壇，因此往往包含大量使用者個資。就在這名研究人員公布漏洞及攻擊程式後，知名安全大會DefCon的論壇就遭到攻擊。

負責維護vBulletin的組織也在周一釋出修補程式，但呼籲跑在舊版vBulletin的論壇都應升級到5.6.2版。

不過維護小組指出，架在vBulletin Cloud上的網站則不受影響。