Eksperci z SecuriTeam Secure Disclosure (SSD) wykryli dwie luki w popularnym skrypcie forum vBulletin 5. Pierwsza podatność pozwala atakującemu wysłać dowolny plik na serwer i zdalnie wykonać kod PHP, jednak w tym przypadku podatności nie został jeszcze przyznany żaden identyfikator (CVE).
Badacze tak opisują problem:
An unauthenticated attacker can trigger the file inclusion vulnerability by sending a GET request to index.php with the routestring= parameter in the request, eventually allowing the attacker to „create a crafted request to Vbulletin server installed on Windows OS and include any file on the web server.”
Druga podatność (CVE-2017-17672) dotyczy usunięcia plików z serwera i pod pewnymi warunkami możliwe jest również zdalne wykonanie złośliwego kodu.
Szczegóły techniczne są dostępne na blogu SSD.
Badacze próbowali się skontaktować z deweloperami „vB” kilkukrotnie. Od 21 listopada nie dostali żądnej odpowiedzi, więc opublikowali dowody koncepcji.
