익명 연구자는 오픈 소스가 vBulletin에 포럼 엔진에서 위험한 0 일 취약점 악용 발표.
엔흐름, 정보 보안 전문가는 포럼 해킹의 거대한 물결을 자극 수에 대한 문제와 파이썬에 대한 자세한 정보를 게시 악용 두려워.0 일 버그에 대한 세부 사항은에서 찾을 수 있습니다 전체 공개 메일 링리스트.
"이 RCE 취약점은 공격자가 vBulletin에있는 서버에 쉘 명령을 실행할 수 있습니다. 그 위에, 공격자는 단순한 HTTP POST 요청을 사용할 필요가 대상 포럼에 계정이 필요하지 않습니다, 그건, 문제는 "사전 인증 취약점의 불쾌한 클래스에 속하는, – 전체 공개 메일 링리스트는 말한다.
ZDNet의 자신의 소스의 수를 의미하고 익명의 전문가에 의해 설명 된 취약점이 정확히 작동하는지 확인.
"아마도이 상황에서 유일한 좋은 소식은 0 일 만 vBulletin에 5.x를 포럼 버전에서 작동한다는 것입니다 (최신까지 5.5.4), 이전 버전의 버그 "에 의해 영향을받지 않습니다, – ZDNet의 보고서의 저자.
익명의 저자가 vBulletin에 개발자에게 문제를보고하려고 여부를 아직 불분명하다 (그리고 그것을 해결하기 위해 실패), 즉시 공개 도메인에 버그에 대한 정보를 공개.
또한 읽기: Smominru 봇넷 빠르게 확산 이상 해킹 90 천 컴퓨터 매월
개발자는 아직 상황에 댓글을하지 않은, 일부는 심지어 취약성 데이터의 출판은 파괴의 계획된 행동이 될 수 있다고 생각.
"이것은 또한 의도적 인 악의 또는 파괴하는 행위가 될 수, "제로 데이 떨어지는 익명의 연구원으로 단지 회사의 명성을 다치게하고 위험에 고객을 넣어, - ZDNet의 작성자 제안.
vBulletin에 상용 제품이지만, 오늘은 phpBB를 오픈 소스 솔루션보다 더 큰 시장 점유율로 가장 인기있는 포럼 엔진입니다, XenForo, 간단한 기계 포럼, MyBB 등. 에 따르면 W3Techs, 약 0.1% 모든 사이트 vBulletin에 포럼을 사용. 이 값은 작은 것 같지만, 실제로는 인터넷 사용자의 수십억 vBulletin에 작업을 의미합니다.
재미있게, 이 문제에 대한 정보를 연구자에게 많은 돈을 가져올 수. 예를 들면, Zerodium는 기꺼이 에 지불하는 $10,000 vBulletin에 이러한 RCE 취약점에 대한.
