vBulletin 5.x 원격 코드 실행 취약점 분석 예
vBulletinComponentsIntroduction
vBulletin은 포럼 및 커뮤니티 게시 소프트웨어 분야의 글로벌 리더입니다. 보안, 강력한 관리 기능과 속도, 40,000개가 넘는 온라인 커뮤니티에 서비스를 제공할 수 있는 능력은 고객들의 큰 사랑을 받고 있습니다. 많은 대규모 포럼에서 vBulletin을 커뮤니티로 선택했습니다. vBulletin 공식 웹사이트에 표시된 고객 목록을 보면 유명 게임 제작사 EA, 유명 게임 플랫폼 Steam, 일본의 대규모 다국적 기업 Sony, 미국 NASA가 모두 효율적이고 안정적이라는 것을 알 수 있습니다. 중국에는 Hummingbird.com, 51 Group Buying, Ocean Tribe 및 vBulletin을 사용하는 수만 명의 사람들이 참여하는 기타 온라인 포럼과 같은 대규모 고객도 많이 있습니다.
취약점 설명
2020년 8월 11일 Sangfor 보안팀은 vBulletin 5.x 버전에서 원격 코드 실행 취약점에 대한 0일 정보를 추적했습니다. 이 0일 취약점은 vBulletin CVE의 취약점입니다. 2019년 - 2019-16759 취약점 패치를 우회하여 해당 취약점은 위험도가 높은 것으로 평가되었습니다. 이 취약점은 vBulletin 5.x 시리즈의 모든 버전에 영향을 미치며, 공식적으로는 취약점을 수정하지 않았으며 솔루션을 제공하지 않았습니다. 원격 공격자는 신중하게 구성된 악성 매개 변수를 통해 임의 코드를 실행하거나 대상 서버를 제어하거나 민감한 사용자 정보를 훔칠 수 있습니다.
취약성 재현
vBulletin 5.x 버전의 취약점을 재현하고 echo 명령을 실행하면 다음과 같은 효과가 나타납니다.
영향 범위
를 통해 확인할 수 있습니다. 사이버 공간 검색 엔진 전 세계적으로 인터넷에 공개된 vBulletin 웹사이트는 약 30,000개에 달하며 그 중 다수는 대규모 국제 기업이 운영하는 국제 커뮤니티 포럼이므로 이 취약점의 영향이 크다는 사실이 밝혀졌습니다.
현재 영향을 받는 버전은 vBulletin 5.x입니다. 즉, vBulletin 5 시리즈의 모든 버전이 영향을 받습니다.
복구 제안
vBulletin은 이 취약점을 공식적으로 수정하지 않았습니다. 이 취약점의 영향을 받는 사용자는 vBulletin 공식 웹사이트에서 최신 복구 패치를 받으시기 바랍니다: https://www.vbulletin.com/
임시 해결책: vBulletin 소유자는 포럼 설정을 다음과 같이 수정하여 악용을 방지할 수 있습니다.
vBulletin 관리자 제어판으로 이동
왼쪽 메뉴에서 "설정"을 클릭하고 다음을 클릭하세요. 드롭다운 메뉴에서 "옵션"을 클릭하세요
"일반 설정"을 선택한 다음 "설정 편집"을 클릭하세요
"PHP, 정적 HTML 및 광고 모듈 렌더링 비활성화"를 찾아 "예"로 설정하세요 ", 그런 다음 저장하세요
위 내용은 vBulletin 5.x 원격 코드 실행 취약점 분석 예의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

핫 AI 도구

Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool
무료로 이미지를 벗다

Clothoff.io
AI 옷 제거제

AI Hentai Generator
AI Hentai를 무료로 생성하십시오.

인기 기사

뜨거운 도구

메모장++7.3.1
사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경

드림위버 CS6
시각적 웹 개발 도구

SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)

뜨거운 주제











이 기사에서는 운영 보안 감사 시스템 조달을 검토합니다. 전형적인 범주 (하드웨어, 소프트웨어, 서비스), 예산 할당 (Capex, Opex, Project, Training, 비상 사태) 및 적절한 정부 계약 차량 (GSA SCH에 대해 자세히 설명합니다.

이 기사는 DevOps 엔지니어, 시스템 관리자, IT 운영 직원 및 유지 보수 직원에 대한 중요한 보안 책임을 자세히 설명합니다. SDLC (DevOps)의 모든 단계에 보안을 통합하여 강력한 액세스 C를 구현하는 것을 강조합니다. C

이 기사는 DevOps, 보안 및 IT 운영 엔지니어의 역할과 필요한 기술을 탐구합니다. 그것은 매일의 작업, 경력 경로 및 각각에 필요한 기술 및 소프트 기술을 자세히 설명하여 자동화의 중요성이 증가 함을 강조합니다.

이 기사는 OPSEC (Operations Security) 및 NETEC (Network Security) 감사 시스템을 대조합니다. OPSEC는 내부 프로세스, 데이터 액세스 및 직원 행동에 중점을두고 NETSEC는 네트워크 인프라 및 통신 보안을 중심으로합니다. 열쇠

이 기사에서는 DevSecops를 검토하여 보안을 소프트웨어 개발 라이프 사이클에 통합합니다. 보안 아키텍처, 자동화, 취약성 관리 및 사고 대응을 포함한 DevOps 보안 엔지니어의 다각적 역할에 대해 자세히 설명합니다.

이 기사는 성공적인 보안 운영 경력을위한 필수 기술을 검토합니다. 기술 전문 지식 (네트워크 보안, SIEM, 클라우드 플랫폼), 분석 기술 (데이터 분석, 위협 인텔리전스) 및 소프트 스킬 (공동 공동)의 필요성을 강조합니다.

DevOps는 CI/CD 파이프 라인 내에서 보안 검사를 자동화하여 인프라를 제어 개선을위한 코드로 사용하고 개발 및 보안 팀 간의 협업을 육성하여 운영 보안을 향상시킵니다. 이 접근법은 취약점을 가속화합니다

이 기사는 O & M (Operational and Maintenance) 보안을 자세히 설명하며 취약성 관리, 액세스 제어, 보안 모니터링, 데이터 보호 및 물리적 보안을 강조합니다. Proacti를 포함한 주요 책임 및 완화 전략
