首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

匿名人员泄露论坛软件vBulletin零日漏洞 或影响数十亿互联网用户

站长之家(ChinaZ.com) 9月25日 消息:据zdnet报道,一名匿名安全研究员日前公布了互联网论坛软件vBulletin零日漏洞的详细信息。

安全专家担心,公布此漏洞的详细信息可能会引发互联网上的一波论坛黑客攻击,导致黑客控制论坛安装并大量窃取用户信息。

根据对已发布代码的分析,零日允许攻击者在运行vBulletin安装的服务器上执行shell命令。攻击者不需要在目标论坛上注册帐户。用信息安全术语来说,就是无需预认证远程代码执行漏洞。关于该零日漏洞的细节已经完全在公众访问邮件列表披露。

正常情况下,当供应商未能修补私下报告的漏洞时,安全研究人员公布未修补的安全漏洞的细节并不罕见。截至发稿时间,尚不清楚匿名研究人员是否向vBulletin团队报告了该漏洞,或者vBulletin团队是否未能及时解决该问题,从而促使研究人员公开。此外,这也可能是故意的恶意或破坏行为,匿名研究人员公开漏洞只是为了损害vBulletin公司的声誉,并把客户置于风险之中。

vBulletin是当今最受欢迎的网络论坛软件包,市场份额大于 phpBB、 XenForo、 Simple Machines Forum、 MyBB等开源解决方案。

根据W3Techs的数据,大约0.1%的互联网网站运行vBulletin论坛。这个百分比看起来很小,但它实际上影响了数十亿互联网用户。Google dorks透露,有数以万计的vbulletin论坛在互联网上运行,其中包括 Steam、EA、 Zynga、NASA、 Sony、BodyBuilding.com、the Houston Texans、the Denver Broncos等。

所幸的是,该零日漏洞只对vBulletin 5.x论坛版本有效。如果客户安装最新的安全补丁,运行早期版本的论坛是安全的。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190925A0E59V00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券