vBulletin遠程命令執行漏洞安全通告

發布時間 2019-11-29

漏洞編號和級別


CVE編號:CVE-2019-16759,危險級別:嚴重,CVSS分值:9.8


影響產品


vBulletin vBulletin 5.*,<=5.5.4


漏洞概述


vBulletin是美國InternetBrands和vBulletinSolutions公司的一款基于PHP和MySQL的開源Web論壇程序。


vBulletin 5.x版本至5.5.4版本中存在遠程命令執行漏洞,攻擊者可借助‘widgetConfig[code]’參數利用該漏洞執行命令。


漏洞驗證


EXP: https://cxsecurity.com/issue/WLB-2019090182。


修復建議


廠商尚未提供漏洞修復方案,請關注廠商主頁更新:

https://www.vbulletin.com/。


參考鏈接


https://packetstormsecurity.com/files/154623/vBulletin-5.x-0-Day-Pre-Auth-Remote-Command-Execution.html