23:21
28/7/2010

Poważna luka w VBulletin 3.8.6 2 — popularnym skrypcie forum internetowego, pozwala atakującym na poznanie loginu i hasła administratora bazy danych.

vBulletin exploit

Wystarczy wejść na forum vBulletin, przejść na stronę F.A.Q (faq.php) i w wyszukiarce wpisać database. Naszym oczom ukażą się wtedy dane pozwalające na przejęcie kontroli nad forum.

vBulletin podatny na atak

Na lukę jest już dostępny patch, ale proste zapytanie do Google (powered by vbulletin 3.8.6) pokazuje, że ciągle tysiące forów korzysta z wersji podatnej na atak — na szczęście obecnie (tydzień po odkryciu luki) trzeba się mocno postarać, żeby znaleźć dziurawe forum, ale jak widać na screenie powyżej, ciągle jest to możliwe.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

11 komentarzy

Dodaj komentarz
  1. Już na forach z pierwszych stron wyników najpopularniejszą frazą wyszukiwania jest ‘powered by vbulletin 3.8.6’. ;)

  2. Wystarczy przejść na vB 4.x aby nawet nie być objętym tym błędem.

  3. hmm, to jest exploit? mi to raczej wyglada na jakis smieszny backdoor a nie exploita/buga…

    ew czy na ta dziure nie sa podatne tylko “scrackowane” skrypty?

  4. W stopce wersji spatchowanej dalej pojawia się “powered by vbulletin 3.8.6”

  5. pisze sie for a nie forów :P

  6. Eeee, prima aprilis? To jakiś żart?
    Czy Wy na poważnie, aby hasłem “baza danych” dostać pełne namiary :) Niektórzy to spece, nie ma co…

  7. matipl: no, poważnie — programiści vbulletin wprowadzili błąd w poprzedniej wersji (w której był nieeksploitowalny) i upgrade do 3.8.6 otwiera drogę do otrzymania “pełnych namiarów” tylko po wprowadzeniu magicznego hasła “baza danych” ;-)

    bikstopa: niestety, nie mowimy tu o przypadku podobnym do trojana w phpBB: https://niebezpiecznik.pl/post/backdoor-na-phpbbhelp-pl-wykrada-hasla-internautow/

  8. to jest haslo administratora czy haslo do bazy danych? jakas taka nieścisłość, nie? większość serwerow mysql ma i tak blokade na podlaczanie “z zewnatrz” wiec rzadko kiedy mozemy cos z tym zrobic..

  9. /me podnosi szczękę z podłogi
    wtf?? no nie wierzę… ciekawe, jak to zaimplementowali, i co chcieli przez to zrobić programiści. jakiś FAQ dla admina strony, i to miało być widoczne tylko dla admina?

  10. Drogi Danielu, forum, omienia się tak samo jak muzeum, więc nie “muz”, a “muzeów”, tak samo “forów” nie “for”. “for” to dopełniacz od słowa potocznie używanego “fory”

    Co do samego buga, cóż nawet takim firmom się zdarza, tylko pytanie, czy płacenie grubej kasy za skrypt nie powinno dawać nam pewności, że takie banalne błędy sie nie pojawią?

  11. Znalazłem całkiem spore forum z 8 tysiącami użytkowników. (: I tak – to jest hasło do bazy danych.

Odpowiadasz na komentarz dzek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: