События

В движке vBulletin обнаружены опасные уязвимости, одна из них критическая

Компания Beyond Security опубликовала данные о двух опасных уязвимостях в форумном движке vBulletin v5.0. Одна из уязвимостей позволяет удаленно выполнить вредоносный код, вторая - удалять произвольные файлы.

Первая уязвимость является проблемой выполнения файлов на сервере (file inclusion) и затрагивает версии vBulletin, использующие серверы на базе ОС Windows. Уязвимость может быть проэксплуатирована неаутентифицированным злоумышленником путем отправки специально сформированного запроса GET на index.php. Успешно проэксплуатировав уязвимость, злоумышленник может внедрить вредоносный PHP-код в файл на сервере, а затем подключить данный файл, манипулируя параметром "routeestring =" в запросе.

Вторая уязвимость CVE-2017-17672 представляет собой проблему десериализации, которая может быть проэксплуатирована неавторизованным злоумышленником для удаления произвольных файлов и, предположительно, выполнения произвольного кода.

В своем блоге эксперты опубликовали PoC-код для эксплуатации обеих уязвимостей. В настоящее время разработчики vBulletin готовят соответствующие исправления.

vBulletin - коммерческий форумный движок, разрабатываемый компанией Internet Brands Inc. Программное обеспечение написано на языке PHP и использует для ведения своей базы данных сервер MySQL.

Источник

Автор: Сергей Куприянов
18.12.2017 (22:37)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.