匿名人员泄露论坛软件vBulletin零日漏洞 或影响数十亿互联网用户

vBulletin 零日漏洞 论坛软件

盾给网络(DunGei.com) 9月25日 消息:zdnet报道,一名匿名安全研究员日前公布了互联网论坛软件vBulletin零日漏洞的详细信息。

安全专家担心,公布此漏洞的详细信息可能会引发互联网上的一波论坛黑客攻击,导致黑客控制论坛安装并大量窃取用户信息。

根据对已发布代码的分析,零日允许攻击者在运行vBulletin安装的服务器上执行shell命令。攻击者不需要在目标论坛上注册帐户。用信息安全术语来说,就是无需预认证远程代码执行漏洞。关于该零日漏洞的细节已经完全在公众访问邮件列表披露。

正常情况下,当供应商未能修补私下报告的漏洞时,安全研究人员公布未修补的安全漏洞的细节并不罕见。截至发稿时间,尚不清楚匿名研究人员是否向vBulletin团队报告了该漏洞,或者vBulletin团队是否未能及时解决该问题,从而促使研究人员公开。此外,这也可能是故意的恶意或破坏行为,匿名研究人员公开漏洞只是为了损害vBulletin公司的声誉,并把客户置于风险之中。

vBulletin是当今最受欢迎的网络论坛软件包,市场份额大于 phpBB、 XenForo、 Simple Machines Forum、 MyBB等开源解决方案。

根据W3Techs的数据,大约0.1%的互联网网站运行vBulletin论坛。这个百分比看起来很小,但它实际上影响了数十亿互联网用户。Google dorks透露,有数以万计的vbulletin论坛在互联网上运行,其中包括 Steam、EA、 Zynga、NASA、 Sony、BodyBuilding.com、the Houston Texans、the Denver Broncos等。

所幸的是,该零日漏洞只对vBulletin 5.x论坛版本有效。如果客户安装最新的安全补丁,运行早期版本的论坛是安全的。

人已赞赏
互联网资讯

刘作虎确认一加7T出厂搭载安卓10系统:90Hz屏、骁龙855 Plus

2019-9-25 15:00:11

互联网资讯

毕福康:对拜腾充满敬意 感谢一汽在关键时刻对拜腾的支持

2019-9-25 15:00:13

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
今日签到
有新私信 私信列表
有新消息 消息中心
搜索