匿名人员泄露论坛软件vBulletin零日漏洞 或影响数十亿互联网用户

站长之家(ChinaZ.com) 9月25日 消息:据zdnet报道，一名匿名安全研究员日前公布了互联网论坛软件vBulletin零日漏洞的详细信息。

安全专家担心，公布此漏洞的详细信息可能会引发互联网上的一波论坛黑客攻击，导致黑客控制论坛安装并大量窃取用户信息。

根据对已发布代码的分析，零日允许攻击者在运行vBulletin安装的服务器上执行shell命令。攻击者不需要在目标论坛上注册帐户。用信息安全术语来说，就是无需预认证远程代码执行漏洞。关于该零日漏洞的细节已经完全在公众访问邮件列表披露。

正常情况下，当供应商未能修补私下报告的漏洞时，安全研究人员公布未修补的安全漏洞的细节并不罕见。截至发稿时间，尚不清楚匿名研究人员是否向vBulletin团队报告了该漏洞，或者vBulletin团队是否未能及时解决该问题，从而促使研究人员公开。此外，这也可能是故意的恶意或破坏行为，匿名研究人员公开漏洞只是为了损害vBulletin公司的声誉，并把客户置于风险之中。

vBulletin是当今最受欢迎的网络论坛软件包，市场份额大于 phpBB、 XenForo、 Simple Machines Forum、 MyBB等开源解决方案。

根据W3Techs的数据，大约0.1%的互联网网站运行vBulletin论坛。这个百分比看起来很小，但它实际上影响了数十亿互联网用户。Google dorks透露，有数以万计的vbulletin论坛在互联网上运行，其中包括 Steam、EA、 Zynga、NASA、 Sony、BodyBuilding.com、the Houston Texans、the Denver Broncos等。

所幸的是，该零日漏洞只对vBulletin 5.x论坛版本有效。如果客户安装最新的安全补丁，运行早期版本的论坛是安全的。