負責維護vBulletin的組織在周一釋出修補程式,呼籲跑在舊版vBulletin的論壇都應升級到5.6.2版。

去年知名網路論壇軟體vBulletin被爆有零時差遠端程式碼執行(RCE)漏洞,雖然維護單位已釋出修補程式,但有研究人員在未通知vBulletin的情況下,逕自公開官方修補不全的問題,並公布新的攻擊程式。

編號CVE-2019-16759的漏洞首先於2019年9月23日曝光,可讓攻擊者遠端執行PHP程式碼,影響vBulletin 5.0到5.4版。這項漏洞攻擊之簡易而被戲稱為bugdoor,其實相當危險,CVSS 3.0風險評分達到9.8分。不過vBulletin的維護單位3天後即釋出了修補程式。

不過代號zenofex的研究人員Amir Etemadieh本周日指出,即使vBulletin釋出了2個版本修補程式,他仍然在vBulletin Connect找到零時差漏洞,影響vBulletin Connect 5.6.0到5.6.2版。他並在未通知vBulletin小組情況下公開了Python、Ruby及Bash等語言編寫的攻擊程式,分別上傳到群組郵件及Github上,雖然同時也提供從vBulletin選單中,關閉Python以防止PHP攻擊程式的方法。

和Wordpress、Joomla等內容管理平臺不同,vBulletin專門用於社群論壇,因此往往包含大量使用者個資。就在這名研究人員公布漏洞及攻擊程式後,知名安全大會DefCon的論壇就遭到攻擊。

負責維護vBulletin的組織也在周一釋出修補程式,但呼籲跑在舊版vBulletin的論壇都應升級到5.6.2版。

不過維護小組指出,架在vBulletin Cloud上的網站則不受影響。


熱門新聞

Advertisement