Нова версия на vBulletin адресира сериозни уязвимости

0
62

В края на миналата седмица се появи информация за две съществуващи уязвимости във форумната платформа vBulletin.

Те са докладвани в два независими доклада към компанията – от Beyond Security и неназован разработчик. Първите твърдят, че са се свързали с vBulletin през ноември, но отговор от тяхна страна не е последвал. Последва пълно разкриване на проблемите и публикуван PoC (proof-of-concept) код, доказващ валидността на уязвимостите. Това, съответно доведе и до адресирането им тези дни. Първата от тях е свързана с възможността неоторизирана страна да инжектира зловреден PHP код във файл на сървъра и да „включи“ този файл, което да доведе до изпълнение на нежелан код. Втората от уязвимостите е проблем с десериализацията, който може да доведе до изтриване на файлове и изпълнение на код по отдалечен път. В интервю за SecurityWeek, vBulletin знание за проблемите преди тази седмица. Засегнатите версии са 5.3.2, 5.3.3 и 5.3.4. Във вторник компанията адресира уязвимостите с версии на vBulletin 5.3.4 Patch Level 1, 5.3.3 Patch Level 1 и 5.3.2 Patch Level 2.

Администраторите на vBulletin е нужно да наложат пачовете възможно най-бързо, тъй като излязоха методи за експлоатирането на уязвимостите и атаките към тях вероятно са неизбежни.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари