Podatność 0day popularnej platformy vBulletin

Zespół Securi poinformował o odkryciu dwóch groźnych podatności popularnej platformy forów internetowych – vBulletin.

Pierwsza z podatności wykorzystuje atak typu LFI do zdalngo wywołania szkodliwego kodu.

Druga wykorzystuje błąd deserializacji zapytań przesłanych przez użytkownika, co w efekcie może prowadzić do skasowania plików na serwerze lub w skrajnych przypadkach zdalnego wywołania kodu.

Z uwagi na to, że aktualnie nie są dostępne poprawki do powyższych podatności i zostały już zaproponowane sposoby ich wykorzystania CERT PSE zaleca administratorom forów opartych na powyższej platformie do śledzenia informacji na stronie producenta: https://www.vbulletin.com/forum/forum/vbulletin-announcements/vbulletin-announcements_aa