Нова версия на vBulletin адресира сериозни уязвимости
В края на предходната седмица се появи информация за две съществуващи уязвимости във форумната платформа vBulletin.
Те са докладвани в два самостоятелни отчета към компанията – от Beyond Security и неназован разработчик. Първите настояват, че са се свързали с vBulletin през ноември, само че отговор от тяхна страна не е последвал. Последва цялостно откриване на проблемите и оповестен PoC (proof-of-concept) код, доказващ валидността на уязвимостите. Това, надлежно докара и до адресирането им тези дни. Първата от тях е обвързвана с опцията неоторизирана страна да инжектира злотворен PHP код във файл на сървъра и да „ включи “ този файл, което да докара до осъществяване на нежелателен код. Втората от уязвимостите е проблем с десериализацията, който може да докара до заличаване на файлове и осъществяване на код по далечен път. В изявление за SecurityWeek, vBulletin познание за проблемите преди тази седмица. Засегнатите версии са 5.3.2, 5.3.3 и 5.3.4. Във вторник компанията адресира уязвимостите с версии на vBulletin 5.3.4 Patch Level 1, 5.3.3 Patch Level 1 и 5.3.2 Patch Level 2.
Администраторите на vBulletin е нужно да наложат пачовете допустимо най-бързо, защото излязоха способи за експлоатирането на уязвимостите и офанзивите към тях евентуално са неизбежни.
Те са докладвани в два самостоятелни отчета към компанията – от Beyond Security и неназован разработчик. Първите настояват, че са се свързали с vBulletin през ноември, само че отговор от тяхна страна не е последвал. Последва цялостно откриване на проблемите и оповестен PoC (proof-of-concept) код, доказващ валидността на уязвимостите. Това, надлежно докара и до адресирането им тези дни. Първата от тях е обвързвана с опцията неоторизирана страна да инжектира злотворен PHP код във файл на сървъра и да „ включи “ този файл, което да докара до осъществяване на нежелателен код. Втората от уязвимостите е проблем с десериализацията, който може да докара до заличаване на файлове и осъществяване на код по далечен път. В изявление за SecurityWeek, vBulletin познание за проблемите преди тази седмица. Засегнатите версии са 5.3.2, 5.3.3 и 5.3.4. Във вторник компанията адресира уязвимостите с версии на vBulletin 5.3.4 Patch Level 1, 5.3.3 Patch Level 1 и 5.3.2 Patch Level 2.
Администраторите на vBulletin е нужно да наложат пачовете допустимо най-бързо, защото излязоха способи за експлоатирането на уязвимостите и офанзивите към тях евентуално са неизбежни.
Източник: kaldata.com
КОМЕНТАРИ