Ein anonymer Forscher enthüllen ein Open-Source für die gefährliche Verwundbarkeit 0-Day-Exploit im vBulletin Forum Motor.
Now, Informationen Sicherheitsexperten befürchten, dass die Veröffentlichung von detaillierten Informationen über das Problem und die Python-Exploit für eine massive Welle von Forum Hacks provozieren könnte.Details über die 0-day Fehler können auf der gefunden werden Vollständige Offenlegung Mailingliste.
„Das RCE erlaubt ein Angreifer Shell-Befehle auf einem Server mit vBulletin auszuführen. Außerdem, ein Angreifer braucht nur eine einfache HTTP-POST-Anforderung zu verwenden und muß nicht über ein Konto auf dem Ziel Forum haben,, Das ist, das Problem gehört zu der unangenehmen Klasse von Vorauthentifizierung Schwachstellen“, – sagt der Vollmailingliste Disclosure.
ZDNet bezieht sich auf eine Reihe von eigenen Quellen und bestätigt, dass die Verwundbarkeit genau von einem anonymen Spezialisten wie beschrieben funktioniert.
„Vielleicht ist die einzige gute Nachricht in dieser Situation ist, dass 0-Tag nur mit den vBulletin 5.x Forum Versionen funktioniert (bis spätestens 5.5.4), und frühere Versionen werden nicht durch den Fehler betroffen“, – Autoren von ZDNet-Bericht.
Es ist noch unklar, ob der anonyme Autor versucht, das Problem auf die vBulletin Entwickler zu berichten (und es versäumt, es zu beheben), oder sofort frei Informationen über den Fehler in der Public Domain.
lesen Sie auch: Smominru Botnet schnell verbreitet und hackt über 90 tausend Computer jeden Monat
Die Entwickler haben noch nicht über die Situation kommentiert, und einige glauben sogar, dass die Veröffentlichung von Vulnerability-Daten könnte eine geplante Sabotageakt sein.
„Das könnte auch ein Akt der vorsätzlichen Vorsatz oder Sabotage, ein Null-Tag mit dem anonymen Forscher fallen nur den Ruf eines Unternehmens zu schaden und seinen Kunden gefährdet“, - vorschlagen ZDNet Autoren.
Obwohl vBulletin ist ein kommerzielles Produkt, Heute ist es der beliebteste Forum Motor mit einem größeren Marktanteil als Open-Source-Lösungen wie phpBB, XenForo, Simple Machines Forum, MyBB und andere. Gemäß W3Techs, Über 0.1% von allen Seiten betrachten zu können vBulletin Foren. Obwohl dieser Wert scheint klein, in Wirklichkeit bedeutet es, dass Milliarden von Internet-Nutzern mit vBulletin arbeiten.
Interessant, Informationen zu diesem Problem könnten die Forscher eine Menge Geld bringen. Zum Beispiel, Zerodium ist bereit zu zahlen bis zu $10,000 für solche RCE-Schwachstellen in vBulletin.
