vBulletin论坛软件中发布了一个简单的单线漏洞利用,用于零日预身份验证远程代码执行(RCE)漏洞。
vBulletin是一个非常流行的在线论坛软件,被艺电,Zynga,索尼,Pearl Jam,NASA,Steam等大型品牌使用。
在2019年9月,一位不知名的安全研究人员披露了 vBulletin 5.0至5.4版本的零日RCE漏洞,其追踪为CVE-2019-16759。
使用此漏洞,攻击者可以远程登录vBulletin的PHP模块中的漏洞以在远程服务器上执行任何PHP命令,而无需登录论坛。
由于此漏洞易于使用并且能够在易受攻击的vBulletin服务器上远程执行命令,因此其严重等级为9.8 / 10。
昨天,安全研究员Amir Etemadieh(Zenofex)披露了一种新的零日vBulletin攻击,该漏洞绕过了2019年针对原始CVE-2019-16759漏洞发布的补丁。
该漏洞利用非常容易使用,并且允许任何人使用一个单行命令远程执行命令,该命令将POST请求发送到vBulletin服务器,如下图所示。

来源: h4x0r_dz
在与BleepingComputer的对话中,Etemadieh表示他公开披露了该漏洞,因为vBulletin未能在第一时间对其进行正确修补,并且他能够提供缓解措施作为此披露的一部分。
“我感觉到它已经是一个关键漏洞,一年前他们未能修补。释放全面披露是最佳途径。”
“我还通过公开内容提供了一个修复程序,以使任何客户都能快速采取一种方法,立即阻止攻击者访问易受攻击的代码。”
“公司需要认真对待安全性,研究人员无法不断提供免费的劳动力来识别漏洞。”
Etemadieh告诉BleepingComputer:“我一直想向公众指出的是,我没有在代码中创建漏洞,我只提供了暴露这些漏洞的自由劳动。”
攻击立即开始
零日发布后不久,vBulletin网站已经受到攻击。
根据Jeff Moss(又名The Dark Tangent)以及Black Hat和Defcon安全会议的创建者的说法,defcon.org论坛在此漏洞被披露三小时后遭到攻击。
vBulletin的论坛也于今天早些时候下线,因为他们大概正在应用补丁程序来修复此漏洞。
vBulletin发布了零日漏洞的快速修复
由于此漏洞的易用性和严重性,BleepingComputer决定暂缓报告此漏洞,直到有可用补丁为止。
截至今天下午,vBulletin已发布了一个补丁程序,该补丁程序禁用了vBulletin中的PHP模块以缓解此漏洞。
“所有的旧版本应该被视为脆弱的网站运行旧版本的vBulletin需要尽快升级到5.6.2 vBulletin欲了解更多有关升级,请参阅。 快速查看:升级vBulletin连接 的支持论坛,” vBulletin的咨询笔记。
vBulletin声明此模块将在版本5.6.4中完全删除。
对于正在运行生产服务器的用户,您还可以通过执行以下步骤来缓解漏洞:
- 将站点置于调试模式。
- 登录到AdminCP。
- 转到样式->样式管理器。
- 打开MASTER样式的模板列表。
- 滚动到显示模块模板的底部。
- 突出显示widget_php模块。
- 单击还原按钮。
- 这将从您的站点中完全删除该模板,并使PHP模块不起作用。
所有vBulletin用户都应立即安装补丁或应用上述缓解措施。