vBulletin Releases Patch Update for New RCE and SQLi Vulnerabilities

vBulletin เปิดตัว Patch สำหรับแก้ไขช่องโหว่ RCE (การเรียกใช้ Code จากระยะไกล) CVE-2019-17132 ซึ่งมีผลกระทบต่อ vBulletin 5.5.4 และเวอร์ชั่นก่อนหน้านี้ รวมทั้งช่องโหว่ SQLi CVE-2019-17271 เป็นการเข้าถึงฐานข้อมูลของผู้ดูแลระบบที่ปกติไม่มีสิทธิ์ในการเข้าถึง

RCE เป็นช่องโหว่ในส่วนที่ใช้จัดการการร้องขอเพื่อเปลี่ยนรูปแสดงตัวตนใน Forum (avatar) แต่การโจมตีช่องโหว่จะเกิดขึ้นได้เมื่อมีการเปิดใช้งาน "Save Avatars as Files" ส่งผลให้ผู่ไม่หวังดีสามารถสั่งรัน PHP Code ที่เป็นอันตรายได้จากระยะไกล และได้มีการปล่อยชุดคำสั่งสำหรับทดสอบช่องโหว่ (PoC Exploit Code) ดังกล่าวออกมาแล้ว

SQLi เป็นสองช่องโหว่ที่เกิดจากการทำ SQL Injection ส่งผลให้ผู้ดูแลระบบที่ไม่มีสิทธิ์ในการเข้าถึงฐานข้อมูล สามารถเข้าไปดูข้อมูลสำคัญได้ อย่างไรก็ตามการโจมตีผ่านช่องโหว่นี้จำเป็นจะต้องได้รับสิทธิ์บางอย่างเพิ่มเติมก่อน ดังนั้นจึงไม่ใช่ช่องโหว่ที่จะสามารถถูกโจมตีได้อย่างง่ายดาย

มีการออกแพทช์เพื่อแก้ไขช่องโหว่ไปเมื่อวันที่ 30 กันยาที่ผ่านมา โดยมีการอัพเดตเป็นเวอร์ชั่นใหม่ ดังนี้
vBulletin 5.5.4 Patch Level 2
vBulletin 5.5.3 Patch Level 2
vBulletin 5.5.2 Patch Level 2
แนะนำให้ผู้ดูแลระบบทำการอัพเดตเพื่อป้องกันไม่ให้ข้อมูลผู้ใช้งานของตนเอง ตกไปอยู่ในมือผู้ไม่หวังดี

ที่มา: thehackernews.

Read more