一、基本情况

vBulletin 5.x 前台存在代码执行漏洞，CVE编号：CVE-2019-16759。攻击者通过ajax/render/widget_php路由字符串请求中的widgetConfig [code]参数可执行远程命令。

      二、攻击原理

vBulletin是论坛和社区发布软件的全球领导者。其安全性，强大的管理功能和速度，可为40,000多个在线社区提供服务等特点备受客户青睐。

该漏洞的本质为通过模板注入来执行任意代码，攻击者能够通过精心构造的恶意参数，执行任意代码，该漏洞利用方式简单，危害性较大。

其漏洞点存在于以下的模板函数evalCode中：

攻击者首先通过routestring参数来选定使用哪个模板来进行操作，然后可以通过构造widgetConfig[code]参数，使这个参数值进入到模板的evalCode函数中被执行，从而执行任意代码，最终可以获取到网站的web权限。以下为漏洞复现截图：

      三、影响范围

受影响版本：

vBulletin 5.0.0 - 5.5.4  

即，vBulletin 5系列的全版本均受影响。

      四、处置建议

目前官方暂无补丁修复，建议资产管理员临时终止CMS运行,等待官方修复。官方网站地址为：https://www.vbulletin.com/

      五、参考链接

1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16759

2) https://nvd.nist.gov/vuln/detail/CVE-2019-16759