Haavoittuvuus27/2020
vBulletin:sta on löytynyt nollapäivähaavoittuvuus, joka ohittaa aiemmin julkaistun korjauksen Remote Code Execution -haavoittuvuuteen (CVE-2019-16759). Haavoittuvuuden löytäjä on julkaissut sen hyödyntämiseen esimerkkikoodin (PoC) ja aktiivisia hyväksikäyttötapauksia on jo havaittu, joten päivittämistä suositellaan välittömästi.
vBulletin on suosittu keskustelupalstojen alustaratkaisu, jota käyttää lähes 20 000 internet-sivustoa. Tietoturvatutkija löysi 9.8.2020 ohjelmistosta uuden nollapäivähaavoittuvuuden, joka hyödyntää syksyllä 2019 julkaistun haavoittuvuuden (CVE-2019-16759) vajavaisesti tehtyä korjausta. Haavoittuvuudella ei ole vielä CVE-tunnistetta, mutta ohjelmiston valmistaja on julkaissut 10.8.2020 korjaavan ohjelmistopäivityksen uudemmille vBulletin:n versioille.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Suojauksen ohittaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ongelman rajoittaminen
Haavoittuvuuden kohde
Haavoittuvuus koskee kaikkia vBulletin:n versioita.
Mistä on kysymys?
Kolmelle vBulletin Connect -versiolle on olemassa korjaavat päivitykset:
5.6.2
5.6.1
5.6.0
Ohjeet päivityksen tekemiselle löytyy valmistajan tiedotteesta (Ulkoinen linkki).
Vanhemmat versiot ovat edelleen haavoittuvia ja vBulletin suosittelee päivittämistä versioon 5.6.2 mahdollisimman pian.
Mikäli päivittäminen ei ole mahdollista, on suositeltavaa vähintään rajoittaa haavoittuvuuden hyväksikäyttömahdollisuutta estämällä PHP-widgettien käyttö asettamalla hallintaliittymästä "Disable PHP, Static HTML, and Ad Module rendering" optio tilaa "Yes".