vBulletin 项目的维护人员最近发布了一个重要的补丁更新但并未披露任何关于该底层安全漏洞 (CVE-2020-12720) 的信息。
vBulletin 由 PHP 语言编写而成,是一款应用广泛的互联网论坛软件,为互联网上超过10万个网站提供服务,其中包含某些财富500强公司等顶级公司的论坛。
鉴于vBulletin 同时也是黑客的最爱之一,因此不披露漏洞详情有助于很多网站、服务器和用户数据遭攻陷之前可以应用补丁。
然而,和之前一样,研究人员和黑客已经开始逆向工程该软件补丁以定位并理解该漏洞。美国国家漏洞库 (NVD) 也正在分析该缺陷并表示这个严重的缺陷源自访问控制不当,影响版本如下:
5.5.6pl1 之前版本
5.6.0pl1 之前的 5.6.0 版本
5.6.1pl1 之前的 5.6.1 版本
vBulletin表示,“如果你正在使用 5.5.2 之前的 vBuletin 5 Connect 版本,则应尽快更新。”
尽管在本文发布之时尚未出现 PoC 或者和该漏洞是否遭利用的信息,但它们应该很快就会出现。
同时,Ambionics 公司的安全工程师 Charles Fol 证实称他发现并负责任地将该漏洞告知 vBulletin 团队,并打算在预定下个月举办的 SSTIC 大会上披露更多相关信息。
建议论坛管理员尽快下载并安装如下软件版本:
5.6.1 Patch Level 1
5.6.0 Patch Level 1
5.5.6 Patch Level 1
原文链接:
https://thehackernews.com/2020/05/vBulletin-access-vulnerability.html
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
