vBulletin遠程命令執行漏洞安全通告
發布時間 2019-11-29漏洞編號和級別
CVE編號:CVE-2019-16759,危險級別:嚴重,CVSS分值:9.8
影響產品
vBulletin vBulletin 5.*,<=5.5.4
漏洞概述
vBulletin是美國InternetBrands和vBulletinSolutions公司的一款基于PHP和MySQL的開源Web論壇程序。
vBulletin 5.x版本至5.5.4版本中存在遠程命令執行漏洞,攻擊者可借助‘widgetConfig[code]’參數利用該漏洞執行命令。
漏洞驗證
EXP: https://cxsecurity.com/issue/WLB-2019090182。
修復建議
廠商尚未提供漏洞修復方案,請關注廠商主頁更新:
https://www.vbulletin.com/。
參考鏈接
https://packetstormsecurity.com/files/154623/vBulletin-5.x-0-Day-Pre-Auth-Remote-Command-Execution.html