VBulletin lukker alvorligt sikkerhedshul

Artiklen blev oprindeligt publiceret den 11/8/2016

Udviklerne af forumsoftwaren vBulletin har lukket et alvorligt sikkerhedshul, der lader angribere udfører kommandoer på serveren.

Sårbarheden er af typen SSRF (Server Side Request Forgery). En angriber, der ikke er logget ind på systemet, kan udnytte den til at få adgang til andre tjenester på serveren som fx e-mail eller memory caching.

Disse og tidligere versioner af vBulletin er sårbare: 3.8.9, 4.2.3 og 5.2.2.

Fejlen er rettet i version 3.8.10 beta, 4.2.4 beta og 5.2.3. Desuden er der udsendt patches til 3.8.7, 3.8.8 og 3.8.9, hvis man ikke ønsker at opgradere.

Anbefaling
Installer opdateringen.

Links

• vBulletin SSRF Vulnerability Exploit
• Security Patch - vBulletin 3.8.7, 3.8.8, 3.8.9, 3.8.10 Beta
• vBulletin Patches Serious Flaw in Forum Software, artikel fra Kaspersky Threatpost
• Patch vBulletin, or get popped, artikel fra The Register