当前位置:安全资讯 >> 全文

vBulletin 修复遭披露的两个 0day 漏洞

发布时间:2017-12-21 9:09 标签: vBulletin,0day,修复
分享到 0

周二,vBulletin 论坛软件开发人员宣布已修复最近遭公开的两个 0day 漏洞。这两个漏洞可导致远程攻击者执行任意代码并从服务器中删除文件。

上周,Beyond Security 公司披露了这两个漏洞。其中一个问题是文件包含问题,影响基于 WindowsvBulletin。它能导致未经验证的攻击者将恶意 PHP 代码注入服务器中的一个文件中并通过操纵一个请求中的 routestring= 参数“包含”该文件,从而导致代码执行问题。

第二个漏洞CVE-2017-17672是一个反序列化问题,可遭未经验证的攻击者利用,删除任意文件并甚至可能执行任意代码。

Beyond Security 公司表示在1127日将漏洞问题告知 vBulletin 开发团队,但后者表示上周才获悉此事。上周一,开发人员已开发出一个补丁并进行测试。

漏洞影响的版本是 5.3.25.3.3 5.3.4。周二发布的 vBulletin 5.3.4 补丁级别15.3.3补丁级别一和 5.3.2 补丁级别二修复了漏洞问题。托管在 vBulletin 云上的论坛已自动修复。

vBulletin 技术支持领头人Wayne Luke表示,“vBulletin 5.3.2及更高版本中出现了两个潜在问题。第一个问题影响模板转换功能且能导致任意文件删除。第二个问题能导致经由Windows服务器上的遗留路由系统造成远程文件包含问题。我们已应用了修复方案。建议你尽快应用补丁。”

vBulletin 论坛管理员尽快修复漏洞问题起着重要作用,恶意攻击者能快速开始利用在野缺陷,尤其是在这两个漏洞的技术详情和 PoC 代码已公开的情况下。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:http://www.securityweek.com/vbulletin-patches-disclosed-vulnerabilities
参与讨论,请先 登录 | 注册

用户评论