Обнаружены две уязвимости ПО vBulletin

49 0

Две незащищенные критические уязвимости обнаружены в популярном программном обеспечении для интернет-форумов vBulletin.
Внимание обратили исследователи из итальянской фирмы по безопасности TRUEL IT и пожелавший остаться неизвестным независимый исследователь. Последний раскрыл подробности об уязвимостях, обратившись в компанию Beyond Security, представляющую интересы ИБ-специалистов в таких ситуациях в рамках программы SecuriTeam. Он также пытался связаться с vBulletin с 21 ноября, но не получил ответа.

Первой уязвимостью является проблема вовлечения файлов, которая приводит к удаленному выполнению кода, позволяя злоумышленнику «приносить» любой файл на сервер vBulletin и выполнять произвольный PHP-код.

Вторая уязвимость (CVE-2017-17672) описана как проблема десериализации, которую неаутентифицированный злоумышленник может использовать для удаления произвольных файлов и даже запускать вредоносный код «при определенных обстоятельствах».

Открытый API, называемый функцией vB_Library_Template’s cacheTemplates, позволяет получать информацию о наборе заданных шаблонов из базы данных для хранения их внутри переменной кэша.

vBulletin является широко используемым запатентованным софтом интернет-форума на базе сервера баз данных PHP и MySQL. Он обеспечивает работу более 100 000 веб-сайтов в Интернете, включая Fortune и Alexa. Исследователи ожидают, что поставщик выпустит патч для обеих уязвимостей до того, как хакеры начнут использовать их.

Подписываемся, следим @CyberAgency

Related Post

Mist, самый популярный эфирный браузер, может угрожать конфиденциальности ключей, сообщается в блоге Ethereum Foundation

Опубликовано - 18.12.2017 0
Угроза возникает из-за недавно обнаруженной уязвимости, которую можно классифицировать как «высокую степень серьезности» и которая влияет на все существующие версии…

В Германии хакерами займется спецкомандование

Опубликовано - 31.03.2017 0
Власти ФРГ создают Кибернетическое и информационное командование, новая структура будет располагаться в Бонне, сообщает Reuters. Поначалу в киберкомандовании будут работать…

Ирония судьбы – Макафи взломали под Новый год

Опубликовано - 29.12.2017 0
Энтузиаст криптовалюты и пионер кибербезопасности Джон Макафи заявил, что его учетная запись Twitter была скомпрометирована неизвестным преступником, который использовал его…

ФБР вычисляет виртуальных педофилов с помощью торрент-клиентов

Опубликовано - 20.04.2017 0
Федеральное бюро расследований США использует модифицированные торрент-клиенты, чтобы идентифицировать пользователей, загружающих и распространяющих детскую порнографию. Об этом сообщил вчера портал…

Добавить комментарий