首页 > 清静研究 > 清静转达 > 清静通告

vBulletin 5.x多个高危误差清静通告

宣布时间 2019-10-11

误差编号和级别

CVE编号：CVE-2019-17271，，危险级别：高危，，CVSS分值：官方未评定

CVE编号：CVE-2019-17132，，危险级别：高危，，CVSS分值：官方未评定

影响版本

vBulletin版本5.0.0到最新的5.5.4

误差概述

vBulletin是美国Internet Brands和vBulletin Solutions公司配合开发的一款开源的商业Web论坛程序。。。

克日，，vBulletin 官方宣布了一个全新清静补丁，，该补丁修复了CVE编号为CVE-2019-17271的SQL注入误差，，以及CVE编号为CVE-2019-17132的远程代码执行误差。。。

CVE-2019-17271 SQL注入误差

SQL注入误差是两个“read in-band and time-based”的SQL注入问题，，它们保存于两个自力的端点上，，允许具有受限制特权的治理员从数据库读取敏感数据。。。

（1）通过“where”参数的键转达到“ajax/api/hook/getHookList”端点的用户输入数据，，在后台举行SQL盘问之前没有经由准确验证与过滤。。。远程攻击者可以使用这一点，，通过“read in-band”SQL注入攻击从数据库中读取敏感数据。。。可是乐成使用此误差需要用户具有“canadminproducts”或“canadminstyles”的治理员权限，，恣意注册的用户无该权限。。。

（2）通过“where”参数的键转达到“ajax/api/widget/getWidgetList”端点的用户输入数据，，在后台举行SQL盘问之前没有经由准确验证与过滤。。。远程攻击者可以使用这一点，，通过“time-based”SQL注入攻击从数据库中读取敏感数据。。。可是乐成使用此误差需要用户具有”canusesitebuilder”的治理员权限，，恣意注册的用户无该权限。。。

CVE-2019-17132 远程代码执行误差

vBulletin forum处置惩罚用户更新头像(用户的小我私家资料、图标或图形体现)请求时保存远程代码执行误差，，该误差爆发的缘故原由是通过“data[extension]”和“data[filedata]”参数转达到”ajax/api/User/updateAvatar”端点的用户输入数据，，在用于更新用户的avatar之前没有获得准确验证。。。这可以用来注入和执行恣意的PHP代码。。。可是乐成使用此误差需要治理员启用“生涯头像为文件”选项(该选项默认被禁用)。。。

通过网络空间搜索引擎可以得知，，在全球规模内，，对互联网开放的vBulletin网站有近3万个，，其中较多网站为国际大型企业所维护的国际社区论坛，，以是该误差影响面较大。。。

误差验证

CVE-2019-17132

POC：https://packetstormsecurity.com/files/154759/vBulletin-5.5.4-Remote-Code-Execution.html。。。

修复建议

现在厂商已宣布升级补丁以修复误差，，补丁获取链接：

https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4423646-vbulletin-5-5-x-5-5-2-5-5-3-and-5-5-4-security-patch-level-2。。。

参考链接

https://packetstormsecurity.com/files/154758/vBulletin-5.5.4-SQL-Injection.html

https://packetstormsecurity.com/files/154759/vBulletin-5.5.4-Remote-Code-Execution.html

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

人生就是博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系人生就是博

清静研究

vBulletin 5.x多个高危误差清静通告

关于人生就是博

解决计划

清静研究

联系人生就是博

7*24小时效劳热线