去年知名网络论坛软件vBulletin被爆有零时差远程程序代码执行(RCE)漏洞,虽然维护单位已发布修补程序,但有研究人员在未通知vBulletin的情况下,径自公开官方修补不全的问题,并公布新的攻击程序。
编号CVE-2019-16759的漏洞首先于2019年9月23日曝光,可让攻击者远程执行PHP程序代码,影响vBulletin 5.0到5.4版。这项漏洞攻击之简易而被戏称为bugdoor,其实相当危险,CVSS 3.0风险评分达到9.8分。不过vBulletin的维护单位3天后即发布了修补程序。
不过代号zenofex的研究人员Amir Etemadieh本周日指出,即使vBulletin发布了2个版本修补程序,他仍然在vBulletin Connect找到零时差漏洞,影响vBulletin Connect 5.6.0到5.6. 2版。他并在未通知vBulletin小组情况下公开了Python、Ruby及Bash等语言编写的攻击程序,分别上传到群组邮件及Github上,虽然同时也提供从vBulletin菜单中,关闭Python以防止PHP攻击程序的方法。
和Wordpress、Joomla等内容管理平台不同,vBulletin专门用于社群论坛,因此往往包含大量用户个人信息。就在这名研究人员公布漏洞及攻击程序后,知名安全大会DefCon的论坛就遭到攻击。
负责维护vBulletin的组织也在周一发布修补程序,但呼吁跑在旧版vBulletin的论坛都应升级到5.6.2版。
不过维护小组指出,架在vBulletin Cloud上的网站则不受影响。