vbulletin

vBulletin distribue un patch pour des vulnérabilités RCE et injection SQL

Le mois dernier, vBulletin distribuait un patch pour une vulnérabilité d’exécution de code à distance, la compagnie vient juste de publier un nouveau patch de sécurité qui s’attaque à 3 autres vulnérabilités importantes.

Si ces failles qui affectent vBulletin 5.5.4 et les versions antérieures ne sont pas patchées, elles permettent à des pirates de prendre le contrôle des serveurs web ciblés et de subtiliser des données sensibles.

vBulletin (aussi connu sous le nom de vB) est un logiciel de forum de discussions (ou de support de communauté) commercial développé par Jelsoft Entreprises Ltd. Écrit en PHP et utilisant la base de données MySQL, il est comparable aux autres systèmes de forums tels que Invision Power Board, phpBB ou encore Simple Machines Forum.

Découverte par le chercheur en sécurité Egidio Romano, la première vulnérabilité, identifié comme CVE-2019-17132, est une faille d’exécution de code à distance(RCE), alors que les deux autres sont des problèmes d’injection SQL qui ont donc reçu le même identifiant, CVE-2019-17271.

Failles RCE et SQLi dans vBulletin

La faille RCE réside dans la manière dont vBulletin manipule les requêtes des utilisateurs pour changer les avatars de leurs profils, permettant à un pirate distant d’injecter et effectuer du code PHP sur le serveur ciblé via des paramètres non assainis.

Toutefois, il faut préciser que cette vulnérabilité n’est pas exploitable dans l’installation par défaut. L’exploitation devient possible si l’option “Sauvegarder les avatars en tant que fichiers” est activé par l’administrateur du site.

Romano a partagé une preuve de concept pour cette vulnérabilité d’exécution de code à distance.

Les deux autres vulnérabilités sont des injections SQL read in-band et time-based qui résident dans deux différents endpoints et peuvent permettre aux administrateurs avec des permissions limitées de lire des données auxquelles ils ne devraient pas avoir accès sur la base de données.

vbulletin security vulnerabilities

Patchs de sécurité distribués

Romano a signalé toutes ces vulnérabilités aux développeurs de vBulletin le 30 Septembre 2019, ils ont pris connaissance de ses trouvailles et ont distribué les patchs de sécurité suivant.

  • vBulletin 5.5.4 Patch Level 2
  • vBulletin 5.5.3 Patch Level 2
  • vBulletin 5.5.2 Patch Level 2

Il est recommandé aux administrateurs d’appliquer le patch de sécurité le plus rapidement possible avant que des pirates ne commencent à exploiter ces vulnérabilités. La semaine dernières les informations de connexion de 245 000 utilisateurs des forums de Comodo ont été dérobées car la compagnie n’avait pas installé les patchs disponibles à temps.

Laisser un commentaire