Опасная уязвимости нулевого дня в форумном движке vBulletin

yakudza · #1 05-09-2025, 12:05 AM

Анонимный исследователь обнародовал в открытом доступе детали опасной уязвимости нулевого дня в форумном движке vBulletin. Теперь ИБ-специалисты опасаются, что публикация детальной информации о проблеме и Python-эксплоита для нее могут спровоцировать массовую волну взломов форумов.
Подробности о 0–day баге можно найти на страницах рассылки Full Disclosure. Сообщается, что данная RCE-уязвимость позволяет злоумышленнику выполнять shell-команды на сервере с vBulletin. Причем атакующему достаточно использовать простой HTTP POST-запрос и не нужно иметь учетную запись на целевом форуме, то есть проблема относится к неприятному классу pre-authentication уязвимостей. Пожалуй, единственная хорошая новость в данной ситуации заключается в том, что 0-day работает только с версиями форума vBulletin 5.x (вплоть до новейшей 5.5.4), а более ранние версии багу не подвержены.
https://twitter.com/i/web/status/1176551984037543936
Опубликован скрипт для поиска уязвимых серверов
https://github.com/Frint0/mass-pwn-vbulletin
Появилось более детальное описание проблемы
https://gist.github.com/jamesbercega...12d98d887542b3

Jekaprof · #2 05-09-2025, 12:15 AM

ой ёй вот это новость ну сейчас начнётся

Devil:P · #3 05-09-2025, 12:30 AM

Блин, работы то поднавалило...

antvor · #4 05-09-2025, 12:39 AM

Форумов нашей и смежных тематик на этой версии движка не видел. Да админы мониторят то сами новости, не дураки, плюшек там не выпросишь на "ткнул в уязвимость"

Топовых или хотя бы более менее на слуху, имею ввиду.Все или на ксенфоро, или на старых ветках или вообще на ipb. Кидальные кстати тоже не попались,специально прочекал, списком с коровы от инка (шурави?). Так что остаются только или таргетированные под заказ, или какие то узкоспециализированные, которые можно монетизировать. Сейчас например отпарсил тысячи линков по бтк\крипте =) Прогоняемц. Новость радует, давненько одеев такого масштаба не видел в паблике, еще и RCE, еще и реализуемая на уровне "кнопка бабло" даже для самых начинающих скрипткидди

Devil:P · #5 05-09-2025, 12:46 AM

Quote:

Originally Posted by LimOne

Форумов нашей и смежных тематик на этой версии движка не видел. Да админы мониторят то сами новости, не дураки, плюшек там не выпросишь на "ткнул в уязвимость"

Топовых или хотя бы более менее на слуху, имею ввиду.Все или на ксенфоро, или на старых ветках или вообще на ipb. Кидальные кстати тоже не попались,специально прочекал, списком с коровы от инка (шурави?). Так что остаются только или таргетированные под заказ, или какие то узкоспециализированные, которые можно монетизировать. Сейчас например отпарсил тысячи линков по бтк\крипте =) Прогоняемц. Новость радует, давненько одеев такого масштаба не видел в паблике, еще и RCE, еще и реализуемая на уровне "кнопка бабло" даже для самых начинающих скрипткидди

сам в шоке, я думал времена таких тупых ошибок уже в прошлом, да еще платный двиг... Просканил свою базку урлов с булкой, думал может что-то будет с каким-нибудь шопом рядом, но нифига интересного нет. На уязвимых народ уже вовсю резвится, куча шеллов в корне

Zhyk · #6 05-09-2025, 12:58 AM

Интересно, что после публикации данных об уязвимости глава компании Zerodium Чауки Бекрар заявил в Twitter, что его компании и клиентам было известно об этой проблеме на протяжении трех лет, а эксплоиты для нее давно продают на черном рынке. © https://xakep.ru/2019/09/26/vbulletin-patch/

rdp4sale · #7 05-09-2025, 01:02 AM

Quote:

Originally Posted by Met's

Появилось более детальное описание проблемы
https://gist.github.com/jamesbercega...12d98d887542b3

Ссыль битая, поправь на эту: https://gist.github.com/jamesbercega...12d98d887542b3