聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
如果你正在运行基于 vBulletin 软件的在线论坛,那么应确保已安装旨在修复严重漏洞的新补丁。。
vBulletin 项目的维护人员最近发布了一个重要的补丁更新但并未披露任何关于该底层安全漏洞 (CVE-2020-12720) 的信息。
vBulletin 由 PHP 语言编写而成,是一款应用广泛的互联网论坛软件,为互联网上超过10万个网站提供服务,其中包含某些财富500强公司等顶级公司的论坛。
鉴于vBulletin 同时也是黑客的最爱之一,因此不披露漏洞详情有助于很多网站、服务器和用户数据遭攻陷之前可以应用补丁。
然而,和之前一样,研究人员和黑客已经开始逆向工程该软件补丁以定位并理解该漏洞。美国国家漏洞库 (NVD) 也正在分析该缺陷并表示这个严重的缺陷源自访问控制不当,影响版本如下:
5.5.6pl1 之前版本
5.6.0pl1 之前的 5.6.0 版本
5.6.1pl1 之前的 5.6.1 版本
vBulletin表示,“如果你正在使用 5.5.2 之前的 vBuletin 5 Connect 版本,则应尽快更新。”
尽管在本文发布之时尚未出现 PoC 或者和该漏洞是否遭利用的信息,但它们应该很快就会出现。
同时,Ambionics 公司的安全工程师 Charles Fol 证实称他发现并负责任地将该漏洞告知 vBulletin 团队,并打算在预定下个月举办的 SSTIC 大会上披露更多相关信息。
建议论坛管理员尽快下载并安装如下软件版本:
5.6.1 Patch Level 1
5.6.0 Patch Level 1
5.5.6 Patch Level 1
推荐阅读
黑客利用 vBulletin 0day 攻陷 Check Point 旗下软件安全公司
匿名研究员扔出一枚严重的 vBulletin 0day,或值1万美元
原文链接
https://thehackernews.com/2020/05/vBulletin-access-vulnerability.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~
341
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
