Deprecated: class-phpmailer.php is verouderd sinds versie 5.5.0. Gebruik in plaats daarvan wp-includes/PHPMailer/PHPMailer.php. The PHPMailer class has been moved to wp-includes/PHPMailer subdirectory and now uses the PHPMailer\PHPMailer namespace. in /www/wp-includes/functions.php on line 4963 Deprecated: class-smtp.php is verouderd sinds versie 5.5.0. Gebruik in plaats daarvan wp-includes/PHPMailer/SMTP.php. The SMTP class has been moved to the wp-includes/PHPMailer subdirectory and now uses the PHPMailer\PHPMailer namespace. in /www/wp-includes/functions.php on line 4963 VBulletin dicht ernstige kwetsbaarheid waardoor forums zijn over te nemen – Securatis

VBulletin dicht ernstige kwetsbaarheid waardoor forums zijn over te nemen

doorSecuratis

VBulletin dicht ernstige kwetsbaarheid waardoor forums zijn over te nemen

De ontwikkelaars van de populaire forumsoftware vBulletin hebben een beveiligingsupdate uitgebracht voor een ernstige kwetsbaarheid waardoor forums op afstand zijn over te nemen. Het beveiligingslek werd afgelopen zondag door beveiligingsonderzoeker Amir Etemadieh openbaar gemaakt, voordat vBulletin een patch beschikbaar had gesteld.

Vorig jaar september bracht vBulletin een beveiligingsupdate uit voor een ernstige kwetsbaarheid waardoor het mogelijk was om vBulletin-sites op afstand en zonder authenticatie volledig over te nemen. Het beveiligingslek, CVE-2019-16759, werd op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Ook deze kwetsbaarheid werd voor het verschijnen van een beveiligingsupdate openbaar gemaakt.

Dit beveiligingslek werd veroorzaakt door het verwerken van widgets, waardoor een aanvaller zijn code door een php-functie kon laten uitvoeren. Etemadieh ontdekte dat de beveiligingsupdate eenvoudig was te omzeilen waardoor het onderliggende probleem alsnog was te misbruiken. De onderzoeker ontwikkelde een “one line command line exploit” om te demonstreren hoe een aanvaller misbruik van het lek zou kunnen maken.

Ook publiceerde hij twee volledig werkende exploits in Python en Ruby, alsmede een module voor de populaire beveiligingstool Metasploit. Hoewel Etemadieh vBulletin niet had geïnformeerd voor zijn publicatie kwam hij wel met een tijdelijke fix zodat vBulletin-sites zich konden beschermen. Vandaag heeft vBulletin een officiële beveiligingsupdate uitgerold voor vBulletin Connect 5.6.0, 5.6.1 en 5.6.2.

https://www.security.nl/posting/667259/VBulletin+dicht+ernstige+kwetsbaarheid+waardoor+forums+zijn+over+te+nemen?channel=rss

Over de auteur

Securatis administrator