vBulletin 5.x多个高危误差清静通告

宣布时间 2019-10-11

误差编号和级别


CVE编号:CVE-2019-17271,危险级别:高危,CVSS分值:官方未评定

CVE编号:CVE-2019-17132,危险级别:高危,CVSS分值:官方未评定


影响版本


vBulletin版本5.0.0到最新的5.5.4


误差概述


vBulletin是美国Internet Brands和vBulletin Solutions公司配合开发的一款开源的商业Web论坛程序。


克日,vBulletin 官方宣布了一个全新清静补丁,该补丁修复了CVE编号为CVE-2019-17271的SQL注入误差,以及CVE编号为CVE-2019-17132的远程代码执行误差。


CVE-2019-17271 SQL注入误差


SQL注入误差是两个“read in-band and time-based”的SQL注入问题,它们保存于两个自力的端点上,允许具有受限制特权的管理员从数据库读取敏感数据。


(1)通过“where”参数的键转达到“ajax/api/hook/getHookList”端点的用户输入数据,在后台举行SQL盘问之前没有经由准确验证与过滤。远程攻击者可以使用这一点,通过“read in-band”SQL注入攻击从数据库中读取敏感数据。可是乐成使用此误差需要用户具有“canadminproducts”或“canadminstyles”的管理员权限,恣意注册的用户无该权限。


(2)通过“where”参数的键转达到“ajax/api/widget/getWidgetList”端点的用户输入数据,在后台举行SQL盘问之前没有经由准确验证与过滤。远程攻击者可以使用这一点,通过“time-based”SQL注入攻击从数据库中读取敏感数据。可是乐成使用此误差需要用户具有”canusesitebuilder”的管理员权限,恣意注册的用户无该权限。


CVE-2019-17132 远程代码执行误差


vBulletin forum处置惩罚用户更新头像(用户的小我私家资料、图标或图形体现)请求时保存远程代码执行误差,该误差爆发的缘故原由是通过“data[extension]”和“data[filedata]”参数转达到”ajax/api/User/updateAvatar”端点的用户输入数据,在用于更新用户的avatar之前没有获得准确验证。这可以用来注入和执行恣意的PHP代码。可是乐成使用此误差需要管理员启用“生涯头像为文件”选项(该选项默认被禁用)。


通过网络空间搜索引擎可以得知,在全球规模内,对互联网开放的vBulletin网站有近3万个,其中较多网站为国际大型企业所维护的国际社区论坛,以是该误差影响面较大。


误差验证


CVE-2019-17132

POC:https://packetstormsecurity.com/files/154759/vBulletin-5.5.4-Remote-Code-Execution.html。


修复建议


现在厂商已宣布升级补丁以修复误差,补丁获取链接:

https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4423646-vbulletin-5-5-x-5-5-2-5-5-3-and-5-5-4-security-patch-level-2。


参考链接


https://packetstormsecurity.com/files/154758/vBulletin-5.5.4-SQL-Injection.html

https://packetstormsecurity.com/files/154759/vBulletin-5.5.4-Remote-Code-Execution.html