Jadual Kandungan
Perihalan Kerentanan
Penghasilan Semula Kerentanan
Skop pengaruh
Cadangan pembaikan
Rumah Operasi dan penyelenggaraan Keselamatan Contoh analisis kelemahan pelaksanaan kod jauh vBulletin 5.x

Contoh analisis kelemahan pelaksanaan kod jauh vBulletin 5.x

May 18, 2023 am 11:46 AM
vbulletin

vBulletinKomponenPengenalan

vBulletin ialah peneraju global dalam perisian penerbitan forum dan komuniti. Keselamatannya, fungsi pengurusan yang berkuasa dan kepantasannya serta keupayaannya untuk berkhidmat kepada lebih 40,000 komuniti dalam talian amat digemari oleh pelanggan. Banyak forum besar telah memilih vBulletin sebagai komuniti mereka. Daripada senarai pelanggan yang dipaparkan di laman web rasmi vBulletin, kita dapat mengetahui bahawa syarikat pengeluaran permainan terkenal EA, platform permainan terkenal Steam, syarikat multinasional Jepun yang besar, Sony, dan Amerika Syarikat, vBulletin semuanya adalah pelanggannya yang cekap, stabil dan selamat. Di China Terdapat juga ramai pelanggan besar, seperti Hummingbird.com, 51 Group Buying, Ocean Tribe dan forum dalam talian lain dengan berpuluh ribu orang menggunakan vBulletin.

Perihalan Kerentanan

Pada 11 Ogos 2020, pasukan keselamatan Sangfor menjejaki kelemahan pelaksanaan kod jauh dalam vBulletin 5.x versi 0- maklumat hari. Kerentanan 0 hari ini adalah pintasan daripada tampung kerentanan vBulletin CVE-2019-16759 pada tahun 2019. Kerentanan dinilai sebagai berisiko tinggi. Kerentanan ini memberi kesan kepada semua versi siri vBulletin 5.x, dan pegawai itu tidak membetulkan kelemahan dan menyediakan penyelesaian Penyerang jauh boleh melaksanakan kod sewenang-wenangnya, mengawal pelayan sasaran atau mencuri maklumat pengguna yang sensitif melalui parameter jahat yang dibina dengan teliti.

Penghasilan Semula Kerentanan

Dengan menghasilkan semula kelemahan dalam versi vBulletin 5.x dan melaksanakan arahan gema, kesannya adalah seperti berikut:

vBulletin 5.x 远程代码执行漏洞的示例分析

Skop pengaruh

Ia boleh diketahui dari enjin carian ruang siber bahawa pada skala global, terbuka ke Internet Terdapat hampir 30,000 laman web vBulletin, kebanyakannya adalah forum komuniti antarabangsa yang diselenggarakan oleh syarikat antarabangsa yang besar, jadi kesan kelemahan ini adalah besar.

Versi yang terjejas pada masa ini ialah: vBulletin 5.x, iaitu semua versi siri vBulletin 5 terjejas .

Cadangan pembaikan

  1. Pegawai vBulletin masih belum membetulkan kerentanan ini. Pengguna yang terjejas oleh kerentanan ini sila ambil perhatian laman web rasmi vBulletin Dapatkan pembetulan terkini: https://www.vbulletin.com/

  2. Penyelesaian sementara: pemilik vBulletin boleh menghalang eksploitasi dengan membuat pengubahsuaian berikut pada tetapan forum:

  • Masukkan Panel Kawalan Pentadbir vBulletin

  • Klik "Tetapan" dalam menu sebelah kiri dan klik menu lungsur "Pilihan" dalam menu

  • pilih "Tetapan Umum" dan klik "Edit Tetapan"

  • Cari "Lumpuhkan PHP, HTML Statik , dan pemaparan Modul Iklan"", ditetapkan kepada "YA", kemudian simpannya

Atas ialah kandungan terperinci Contoh analisis kelemahan pelaksanaan kod jauh vBulletin 5.x. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn

Alat AI Hot

Undresser.AI Undress

Undresser.AI Undress

Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover

AI Clothes Remover

Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool

Undress AI Tool

Gambar buka pakaian secara percuma

Clothoff.io

Clothoff.io

Penyingkiran pakaian AI

Video Face Swap

Video Face Swap

Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!

Alat panas

Notepad++7.3.1

Notepad++7.3.1

Editor kod yang mudah digunakan dan percuma

SublimeText3 versi Cina

SublimeText3 versi Cina

Versi Cina, sangat mudah digunakan

Hantar Studio 13.0.1

Hantar Studio 13.0.1

Persekitaran pembangunan bersepadu PHP yang berkuasa

Dreamweaver CS6

Dreamweaver CS6

Alat pembangunan web visual

SublimeText3 versi Mac

SublimeText3 versi Mac

Perisian penyuntingan kod peringkat Tuhan (SublimeText3)