Um pesquisador anônimo revelou um open-source explorar para a perigosa vulnerabilidade 0-day no motor fórum vBulletin.
Now, especialistas de segurança da informação temem que a publicação de informações detalhadas sobre o problema eo Python explorar por isso poderia provocar uma onda maciça de hacks fórum.Detalhes sobre o 0-day bug pode ser encontrado na full Disclosure mailing list.
“Esta vulnerabilidade RCE permite a um invasor executar comandos shell em um servidor com vBulletin. Além disso, um atacante só precisa usar uma solicitação HTTP POST simples e não precisa ter uma conta no fórum alvo, Isso é, o problema pertence à classe desagradável de vulnerabilidades de pré-autenticação”, – diz que a lista de discussão Full Disclosure.
ZDNet refere-se a uma série de suas próprias fontes e confirma que a vulnerabilidade funciona exatamente como descrito por um especialista anônimo.
“Talvez a única boa notícia nesta situação é que 0 dias só funciona com as versões 5.x fórum vBulletin (até a última 5.5.4), e versões anteriores não são afetadas pelo bug”, – autores do relatório ZDNet.
Ainda não está claro se o autor anônimo tentou relatar o problema para os desenvolvedores vBulletin (e não conseguiu corrigi-lo), ou imediatamente divulgou informações sobre o bug no domínio público.
Leia também: Smominru botnet se espalha rapidamente e hacks mais 90 mil computadores por mês
Os desenvolvedores ainda não comentou sobre a situação, e alguns até acreditam que a publicação de dados de vulnerabilidade poderia ser um ato planejado de sabotagem.
“Isso também poderia ser um ato de malícia intencional ou sabotagem, com o pesquisador anônimo soltando a-dia zero apenas para prejudicar a reputação de uma empresa e colocar seus clientes em risco”, - sugerem ZDNet autores.
Embora vBulletin é um produto comercial, hoje é o motor fórum mais popular, com uma quota de mercado maior do que as soluções de código aberto, como phpBB, XenForo, Simple Machines Forum, MyBB e outros. De acordo com W3Techs, sobre 0.1% de todos os sites usam fóruns vBulletin. Embora este valor parece pequeno, na realidade, isso significa que milhares de milhões de utilizadores da Internet trabalhar com vBulletin.
Curiosamente, informações sobre este problema poderia trazer o pesquisador um monte de dinheiro. Por exemplo, Zerodium está disposto a pagar até $10,000 para tais vulnerabilidades CRE em vBulletin.
