vBulletin紧急修复高危漏洞 攻击代码仅为18行

论坛程序套件vBulletin本周曝出高危零日漏洞，其概念性验证攻击程序仅为18行代码，据悉可能已有骇客针对该漏洞展开了攻击。vBulletin团队在获悉消息后，紧急在本周四对该漏洞进行了修复。

vBulletin是一个可完全根据自身需要定制的论坛程序套件，宣称全球已有超过10万个网站采用。本周被公布的安全漏洞编号为CVE-2019-16759，骇客无需具备论坛帐号，只要传送一个特制的HTTP POST请求至vBulletin就能执行命令，可执行的命令型态则视vBulletin服务所使用的用户帐号权限而定，可能允许骇客掌控整个系统。

安全专家认为这是个既严重又容易利用的高危漏洞，预期很快就会吸引到大量骇客使用，而据Bad Packets的Troy Mursch指出，其已经侦测到首批攻击。骇客不但通过公开的攻击程序利用到该漏洞，还变更了系统配置，后续传送命令得输入密码，来防堵其它骇客的利用行为，进而收编这些vBulletin服务器成为自己的僵尸网络。据悉大多数的攻击流量来自巴西、越南与印度。

CVE-2019-16759影响vBulletin 5.0.0到5.5.4的版本，漏洞的严重性也让vBulletin团队紧急应对，并放出了修复vBulletin 5.5.2、5.5.3及5.5.4的安全更新，同时建议使用5.5.2以前版本的用户尽快升级。

不过有安全专家指出，此高危漏洞至少在3年前就被发现了，甚至有许多研究人员对外销售CVE-2019-16759的攻击程序。

(7282734)