发布时间:2019-10-12 11:43:54,来源:中国信息通信研究院
vBulletin 5.x 前台存在代码执行漏洞,CVE编号:CVE-2019-16759。攻击者通过ajax/render/widget_php路由字符串请求中的widgetConfig [code]参数可执行远程命令。
vBulletin是论坛和社区发布软件的全球领导者。其安全性,强大的管理功能和速度,可为40,000多个在线社区提供服务等特点备受客户青睐。
该漏洞的本质为通过模板注入来执行任意代码,攻击者能够通过精心构造的恶意参数,执行任意代码,该漏洞利用方式简单,危害性较大。
其漏洞点存在于以下的模板函数evalCode中:
攻击者首先通过routestring参数来选定使用哪个模板来进行操作,然后可以通过构造widgetConfig[code]参数,使这个参数值进入到模板的evalCode函数中被执行,从而执行任意代码,最终可以获取到网站的web权限。以下为漏洞复现截图:
受影响版本:
vBulletin 5.0.0 - 5.5.4
即,vBulletin 5系列的全版本均受影响。
目前官方暂无补丁修复,建议资产管理员临时终止CMS运行,等待官方修复。官方网站地址为:https://www.vbulletin.com/
五、参考链接
1) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16759
2) https://nvd.nist.gov/vuln/detail/CVE-2019-16759