1. 威客安全首页
  2. 安全资讯

匿名黑客泄露vBulletin零日漏洞,波及全球数万站点

匿名黑客泄露vBulletin零日漏洞,波及全球数万站点

匿名黑客泄露vBulletin零日漏洞,波及全球数万站点
Editor
发布于
看雪学院
2019-09-25 17:52

匿名黑客泄露vBulletin零日漏洞,波及全球数万站点

vBulletin作为世界上广泛使用的互联网论坛,以其高效、稳定和安全享有超大用户群。

然而近日匿名黑客公布了论坛的一个关键零日漏洞,并且尚未被修补。

这可能导致论坛遭受一波黑客攻击。

漏洞详情

该漏洞严重程度为高危, 一方面是由于该漏洞可被利用执行远程代码攻击,另一方面是不需要进行身份验证,黑客甚至都无需注册论坛账号就可发起攻击。

vBulletin使用PHP语言编写,为互联网的100000多个网站提供支持,其中包括《财富》 500强和Alexa排名前100万的公司网站和论坛。在中国也有广大的客户群,例如蜂鸟网、51团购、海洋部落等线上论坛。

该漏洞存在于论坛软件包的内部文件中,通过URL参数接受配置,使黑客能够在没有安全检查的情况下将其解析到服务器上,从而能够在系统上注入命令并执行远程代码攻击。

这次的漏洞受影响的版本较多,跟据黑客公布的漏洞细节可以推断从vBulletin 5.0.0版本到最新的5.5.4都会受到影响。

尚未被修复,仍存在风险

此外,黑客还进行了POC测试,发布了基于python的漏洞,使任何人都可以更容易地在野外利用零日漏洞,这也让论坛受到攻击的风险更大。

目前已经向vBulletin的项目维护者通报了该漏洞的披露,希望他们能够在黑客开始利用漏洞之前先修补此漏洞。

*本文由看雪编辑 LYA 编译自 The Hacker News,转载请注明来源及作者。


分享到:
匿名黑客泄露vBulletin零日漏洞,波及全球数万站点
匿名黑客泄露vBulletin零日漏洞,波及全球数万站点
匿名黑客泄露vBulletin零日漏洞,波及全球数万站点
匿名黑客泄露vBulletin零日漏洞,波及全球数万站点

最新评论 (
0)
登录后即可评论

本站声明:网站内容来源于看雪论坛,原文链接:http://zhuanlan.kanxue.com/article-9467.htm,如有侵权,请联系我们,我们将及时处理。

本文转为转载文章,本文观点不代表威客安全立场。

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X