Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Kriittinen haavoittuvuus vBulletin:ssa

Haavoittuvuus27/2020

vBulletin:sta on löytynyt nollapäivähaavoittuvuus, joka ohittaa aiemmin julkaistun korjauksen Remote Code Execution -haavoittuvuuteen (CVE-2019-16759). Haavoittuvuuden löytäjä on julkaissut sen hyödyntämiseen esimerkkikoodin (PoC) ja aktiivisia hyväksikäyttötapauksia on jo havaittu, joten päivittämistä suositellaan välittömästi.

vBulletin on suosittu keskustelupalstojen alustaratkaisu, jota käyttää lähes 20 000 internet-sivustoa. Tietoturvatutkija löysi 9.8.2020 ohjelmistosta uuden nollapäivähaavoittuvuuden, joka hyödyntää syksyllä 2019 julkaistun haavoittuvuuden (CVE-2019-16759) vajavaisesti tehtyä korjausta. Haavoittuvuudella ei ole vielä CVE-tunnistetta, mutta ohjelmiston valmistaja on julkaissut 10.8.2020 korjaavan ohjelmistopäivityksen uudemmille vBulletin:n versioille.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Suojauksen ohittaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä
  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

Haavoittuvuus koskee kaikkia vBulletin:n versioita.

Ratkaisu- ja rajoitusmahdollisuudet

Kolmelle vBulletin Connect -versiolle on olemassa korjaavat päivitykset:

5.6.2
5.6.1
5.6.0

Ohjeet päivityksen tekemiselle löytyy valmistajan tiedotteesta (Ulkoinen linkki).

Vanhemmat versiot ovat edelleen haavoittuvia ja vBulletin suosittelee päivittämistä versioon 5.6.2 mahdollisimman pian.

Mikäli päivittäminen ei ole mahdollista, on suositeltavaa vähintään rajoittaa haavoittuvuuden hyväksikäyttömahdollisuutta estämällä PHP-widgettien käyttö asettamalla hallintaliittymästä "Disable PHP, Static HTML, and Ad Module rendering" optio tilaa "Yes".

Lisätietoja