23:21
28/7/2010

Poważna luka w VBulletin 3.8.6 2 — popularnym skrypcie forum internetowego, pozwala atakującym na poznanie loginu i hasła administratora bazy danych.

vBulletin exploit

Wystarczy wejść na forum vBulletin, przejść na stronę F.A.Q (faq.php) i w wyszukiarce wpisać database. Naszym oczom ukażą się wtedy dane pozwalające na przejęcie kontroli nad forum.

vBulletin podatny na atak

Na lukę jest już dostępny patch, ale proste zapytanie do Google (powered by vbulletin 3.8.6) pokazuje, że ciągle tysiące forów korzysta z wersji podatnej na atak — na szczęście obecnie (tydzień po odkryciu luki) trzeba się mocno postarać, żeby znaleźć dziurawe forum, ale jak widać na screenie powyżej, ciągle jest to możliwe.

Przeczytaj także:

11 komentarzy

Dodaj komentarz
  1. Już na forach z pierwszych stron wyników najpopularniejszą frazą wyszukiwania jest ‘powered by vbulletin 3.8.6’. ;)

  2. Wystarczy przejść na vB 4.x aby nawet nie być objętym tym błędem.

  3. hmm, to jest exploit? mi to raczej wyglada na jakis smieszny backdoor a nie exploita/buga…

    ew czy na ta dziure nie sa podatne tylko “scrackowane” skrypty?

  4. W stopce wersji spatchowanej dalej pojawia się “powered by vbulletin 3.8.6”

  5. pisze sie for a nie forów :P

  6. Eeee, prima aprilis? To jakiś żart?
    Czy Wy na poważnie, aby hasłem “baza danych” dostać pełne namiary :) Niektórzy to spece, nie ma co…

  7. matipl: no, poważnie — programiści vbulletin wprowadzili błąd w poprzedniej wersji (w której był nieeksploitowalny) i upgrade do 3.8.6 otwiera drogę do otrzymania “pełnych namiarów” tylko po wprowadzeniu magicznego hasła “baza danych” ;-)

    bikstopa: niestety, nie mowimy tu o przypadku podobnym do trojana w phpBB: https://niebezpiecznik.pl/post/backdoor-na-phpbbhelp-pl-wykrada-hasla-internautow/

  8. to jest haslo administratora czy haslo do bazy danych? jakas taka nieścisłość, nie? większość serwerow mysql ma i tak blokade na podlaczanie “z zewnatrz” wiec rzadko kiedy mozemy cos z tym zrobic..

  9. /me podnosi szczękę z podłogi
    wtf?? no nie wierzę… ciekawe, jak to zaimplementowali, i co chcieli przez to zrobić programiści. jakiś FAQ dla admina strony, i to miało być widoczne tylko dla admina?

  10. Drogi Danielu, forum, omienia się tak samo jak muzeum, więc nie “muz”, a “muzeów”, tak samo “forów” nie “for”. “for” to dopełniacz od słowa potocznie używanego “fory”

    Co do samego buga, cóż nawet takim firmom się zdarza, tylko pytanie, czy płacenie grubej kasy za skrypt nie powinno dawać nam pewności, że takie banalne błędy sie nie pojawią?

  11. Znalazłem całkiem spore forum z 8 tysiącami użytkowników. (: I tak – to jest hasło do bazy danych.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.