近日,vBulletin 官方发布了一个全新安全补丁,该补丁修复了CVE编号为CVE-2019-17132的远程代码执行漏洞,以及CVE编号为CVE-2019-17271的SQL注入漏洞,漏洞定级均为高危。此次修复的漏洞影响vBulletin 5.5.4及以前的版本。远程攻击者能够通过精心构造的恶意参数,执行任意代码,从而控制目标服务器或窃取敏感用户信息。
漏洞名称
:vBulletin 5.x 多个高危漏洞
威胁等级
:
高危
影响范围
:vBulletin 5.0.0 - 5.5.4
漏洞类型
:代码执行 SQL注入
利用难度
:较难
vBulletin是论坛和社区发布软件的全球领导者。具有安全性高,管理功能强和速度快等特点。很多大型论坛都选择vBulletin作为自己的社区。从vBulletin官方网站所展示的客户列表可以得知,著名的游戏制作公司EA、著名的游戏平台Steam、日本大型跨国企业Sony、以及美国NASA等均为其客户,vBulletin在中国也有很多大型客户,比如蜂鸟网,51团购,海洋部落等在线上万人的论坛都用vBulletin。
1. CVE-2019-17271 SQL注入漏洞
SQL注入漏洞是两个“read in-band and time-based”的SQL注入问题,它们存在于两个独立的端点上,允许具有受限制特权的管理员从数据库读取敏感数据。
1)通过“where”参数的键传递到“ajax/api/hook/getHookList”端点的用户输入数据,在后台进行SQL查询之前没有经过正确验证与过滤。远程攻击者可以利用这一点,通过“read in-band”SQL注入攻击从数据库中读取敏感数据。但是成功利用此漏洞需要用户具有“canadminproducts”或“canadminstyles”的管理员权限,任意注册的用户无该权限。
2)通过“where”参数的键传递到“ajax/api/widget/getWidgetList”端点的用户输入数据,在后台进行SQL查询之前没有经过正确验证与过滤。远程攻击者可以利用这一点,通过“time-based”SQL注入攻击从数据库中读取敏感数据。但是成功利用此漏洞需要用户具有”canusesitebuilder”的管理员权限,任意注册的用户无该权限。
2. CVE-2019-17132 远程代码执行漏洞
vBulletin forum处理用户更新头像(用户的个人资料、图标或图形表示)请求时存在远程代码执行漏洞,该漏洞产生的原因是通过“data[extension]”和“data[filedata]”参数传递到”ajax/api/User/updateAvatar”端点的用户输入数据,在用于更新用户的avatar之前没有得到正确验证。这可以用来注入和执行任意的PHP代码。但是成功利用此漏洞需要管理员启用“保存头像为文件”选项(该选项默认被禁用)。
通过网络空间搜索引擎可以得知,在全球范围内,对互联网开放的vBulletin网站有近3万个,其中较多网站为国际大型企业所维护的国际社区论坛,所以该漏洞影响面较大。
目前受影响的版本为:
vBulletin 5.0.0 - 5.5.4
,即vBulletin 5系列的全版本均受影响。
【
深信服下一代防火墙
】可轻松防御该漏洞, 建议部署深信服下一代防火墙的用户开启安全防御模块,可轻松抵御此高危风险。
【
深信服云盾
】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。
目前官方已发布安全更新,使用该系统的用户可在官方网站获取最新的更新补丁。
