首页 -> 安全研究

安全研究

安全漏洞
vBulletin 远程命令执行漏洞(CVE-2019-16759)

发布日期:2019-09-24
更新日期:2019-09-25

受影响系统:
VBulletin VBulletin 5.0.0-5.5.4
描述:
CVE(CAN) ID: CVE-2019-16759

vBulletin 是一款强大,灵活并可完全根据自己的需要定制的论坛程序套件。

vBulletin 5.x-5.5.4版本,在ajax/render/widget_php routestring请求中的widgetConfig[code]参数存在安全漏洞,该漏洞允许攻击者在不拥有目标论坛账户的情况下,在运行vBulletin的服务器上执行Shell命令。

<*来源:vendor
  *>

建议:
厂商补丁:

VBulletin
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://www.vbulletin.com/en/customer/account/login/?goto=aHR0cHM6Ly9tZW1iZXJzLnZidWxsZXRpbi5jb20vcGF0Y2hlcy5waHA%3D

参考:
https://seclists.org/fulldisclosure/2019/Sep/31

浏览次数:1797
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障