목차
취약점 설명
취약성 재현
영향 범위
복구 제안
운영 및 유지보수 안전 vBulletin 5.x 원격 코드 실행 취약점 분석 예

vBulletin 5.x 원격 코드 실행 취약점 분석 예

May 18, 2023 am 11:46 AM
vbulletin

vBulletinComponentsIntroduction

vBulletin은 포럼 및 커뮤니티 게시 소프트웨어 분야의 글로벌 리더입니다. 보안, 강력한 관리 기능과 속도, 40,000개가 넘는 온라인 커뮤니티에 서비스를 제공할 수 있는 능력은 고객들의 큰 사랑을 받고 있습니다. 많은 대규모 포럼에서 vBulletin을 커뮤니티로 선택했습니다. vBulletin 공식 웹사이트에 표시된 고객 목록을 보면 유명 게임 제작사 EA, 유명 게임 플랫폼 Steam, 일본의 대규모 다국적 기업 Sony, 미국 NASA가 모두 효율적이고 안정적이라는 것을 알 수 있습니다. 중국에는 Hummingbird.com, 51 Group Buying, Ocean Tribe 및 vBulletin을 사용하는 수만 명의 사람들이 참여하는 기타 온라인 포럼과 같은 대규모 고객도 많이 있습니다.

취약점 설명

2020년 8월 11일 Sangfor 보안팀은 vBulletin 5.x 버전에서 원격 코드 실행 취약점에 대한 0일 정보를 추적했습니다. 이 0일 취약점은 vBulletin CVE의 취약점입니다. 2019년 - 2019-16759 취약점 패치를 우회하여 해당 취약점은 위험도가 높은 것으로 평가되었습니다. 이 취약점은 vBulletin 5.x 시리즈의 모든 버전에 영향을 미치며, 공식적으로는 취약점을 수정하지 않았으며 솔루션을 제공하지 않았습니다. 원격 공격자는 신중하게 구성된 악성 매개 변수를 통해 임의 코드를 실행하거나 대상 서버를 제어하거나 민감한 사용자 정보를 훔칠 수 있습니다.

취약성 재현

vBulletin 5.x 버전의 취약점을 재현하고 echo 명령을 실행하면 다음과 같은 효과가 나타납니다.

vBulletin 5.x 远程代码执行漏洞的示例分析

영향 범위

를 통해 확인할 수 있습니다. 사이버 공간 검색 엔진 전 세계적으로 인터넷에 공개된 vBulletin 웹사이트는 약 30,000개에 달하며 그 중 다수는 대규모 국제 기업이 운영하는 국제 커뮤니티 포럼이므로 이 취약점의 영향이 크다는 사실이 밝혀졌습니다.

현재 영향을 받는 버전은 vBulletin 5.x입니다. 즉, vBulletin 5 시리즈의 모든 버전이 영향을 받습니다.

복구 제안

  1. vBulletin은 이 취약점을 공식적으로 수정하지 않았습니다. 이 취약점의 영향을 받는 사용자는 vBulletin 공식 웹사이트에서 최신 복구 패치를 받으시기 바랍니다: https://www.vbulletin.com/

  2. 임시 해결책: vBulletin 소유자는 포럼 설정을 다음과 같이 수정하여 악용을 방지할 수 있습니다.

  • vBulletin 관리자 제어판으로 이동

  • 왼쪽 메뉴에서 "설정"을 클릭하고 다음을 클릭하세요. 드롭다운 메뉴에서 "옵션"을 클릭하세요

  • "일반 설정"을 선택한 다음 "설정 편집"을 클릭하세요

  • "PHP, 정적 HTML 및 광고 모듈 렌더링 비활성화"를 찾아 "예"로 설정하세요 ", 그런 다음 저장하세요

.

위 내용은 vBulletin 5.x 원격 코드 실행 취약점 분석 예의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

Undresser.AI Undress

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

메모장++7.3.1

메모장++7.3.1

사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전

SublimeText3 중국어 버전

중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

드림위버 CS6

드림위버 CS6

시각적 웹 개발 도구

SublimeText3 Mac 버전

SublimeText3 Mac 버전

신 수준의 코드 편집 소프트웨어(SublimeText3)

운영 및 유지 보수 보안 감사 시스템은 어떤 범주에 속합니까? 운영 및 유지 보수 보안 감사 시스템은 어떤 범주에 속합니까? Mar 05, 2025 pm 03:59 PM

이 기사에서는 운영 보안 감사 시스템 조달을 검토합니다. 전형적인 범주 (하드웨어, 소프트웨어, 서비스), 예산 할당 (Capex, Opex, Project, Training, 비상 사태) 및 적절한 정부 계약 차량 (GSA SCH에 대해 자세히 설명합니다.

운영 및 유지 보수 요원의 직무 안전 책임은 무엇입니까? 운영 및 유지 보수 요원의 직무 안전 책임은 무엇입니까? Mar 05, 2025 pm 03:51 PM

이 기사는 DevOps 엔지니어, 시스템 관리자, IT 운영 직원 및 유지 보수 직원에 대한 중요한 보안 책임을 자세히 설명합니다. SDLC (DevOps)의 모든 단계에 보안을 통합하여 강력한 액세스 C를 구현하는 것을 강조합니다. C

운영 및 유지 보수 안전 엔지니어는 무엇을합니까? 운영 및 유지 보수 안전 엔지니어는 무엇을합니까? Mar 05, 2025 pm 04:00 PM

이 기사는 DevOps, 보안 및 IT 운영 엔지니어의 역할과 필요한 기술을 탐구합니다. 그것은 매일의 작업, 경력 경로 및 각각에 필요한 기술 및 소프트 기술을 자세히 설명하여 자동화의 중요성이 증가 함을 강조합니다.

운영 및 유지 보수 보안 감사 시스템 및 네트워크 보안 감사 시스템의 차이 운영 및 유지 보수 보안 감사 시스템 및 네트워크 보안 감사 시스템의 차이 Mar 05, 2025 pm 04:02 PM

이 기사는 OPSEC (Operations Security) 및 NETEC (Network Security) 감사 시스템을 대조합니다. OPSEC는 내부 프로세스, 데이터 액세스 및 직원 행동에 중점을두고 NETSEC는 네트워크 인프라 및 통신 보안을 중심으로합니다. 열쇠

운영 및 유지 보수 보안이란 무엇입니까? 운영 및 유지 보수 보안이란 무엇입니까? Mar 05, 2025 pm 03:54 PM

이 기사에서는 DevSecops를 검토하여 보안을 소프트웨어 개발 라이프 사이클에 통합합니다. 보안 아키텍처, 자동화, 취약성 관리 및 사고 대응을 포함한 DevOps 보안 엔지니어의 다각적 역할에 대해 자세히 설명합니다.

안전 운영 및 유지 보수 직원의 전망은 무엇입니까? 안전 운영 및 유지 보수 직원의 전망은 무엇입니까? Mar 05, 2025 pm 03:52 PM

이 기사는 성공적인 보안 운영 경력을위한 필수 기술을 검토합니다. 기술 전문 지식 (네트워크 보안, SIEM, 클라우드 플랫폼), 분석 기술 (데이터 분석, 위협 인텔리전스) 및 소프트 스킬 (공동 공동)의 필요성을 강조합니다.

운영 및 유지 보수 보안이란 무엇입니까? 운영 및 유지 보수 보안이란 무엇입니까? Mar 05, 2025 pm 03:58 PM

DevOps는 CI/CD 파이프 라인 내에서 보안 검사를 자동화하여 인프라를 제어 개선을위한 코드로 사용하고 개발 및 보안 팀 간의 협업을 육성하여 운영 보안을 향상시킵니다. 이 접근법은 취약점을 가속화합니다

운영 및 유지 보수 보안의 주요 작업 운영 및 유지 보수 보안의 주요 작업 Mar 05, 2025 pm 03:53 PM

이 기사는 O & M (Operational and Maintenance) 보안을 자세히 설명하며 취약성 관리, 액세스 제어, 보안 모니터링, 데이터 보호 및 물리적 보안을 강조합니다. Proacti를 포함한 주요 책임 및 완화 전략

See all articles