Adobe ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่สำคัญของ ColdFusion ที่อาจถูกโจมตีเนื่องจาก Proof-of-concept (PoC) exploit code ที่ถูกปล่อยออกมา (more…)
Adobe แจ้งเตือนช่องโหว่สำคัญใน ColdFusion ที่ถูกปล่อย PoC exploit code ออกมาแล้ว
vBulletin Releases Patch Update for New RCE and SQLi Vulnerabilities
vBulletin เปิดตัว Patch สำหรับแก้ไขช่องโหว่ RCE (การเรียกใช้ Code จากระยะไกล) CVE-2019-17132 ซึ่งมีผลกระทบต่อ vBulletin 5.5.4 และเวอร์ชั่นก่อนหน้านี้ รวมทั้งช่องโหว่ SQLi CVE-2019-17271 เป็นการเข้าถึงฐานข้อมูลของผู้ดูแลระบบที่ปกติไม่มีสิทธิ์ในการเข้าถึง
RCE เป็นช่องโหว่ในส่วนที่ใช้จัดการการร้องขอเพื่อเปลี่ยนรูปแสดงตัวตนใน Forum (avatar) แต่การโจมตีช่องโหว่จะเกิดขึ้นได้เมื่อมีการเปิดใช้งาน "Save Avatars as Files" ส่งผลให้ผู่ไม่หวังดีสามารถสั่งรัน PHP Code ที่เป็นอันตรายได้จากระยะไกล และได้มีการปล่อยชุดคำสั่งสำหรับทดสอบช่องโหว่ (PoC Exploit Code) ดังกล่าวออกมาแล้ว
SQLi เป็นสองช่องโหว่ที่เกิดจากการทำ SQL Injection ส่งผลให้ผู้ดูแลระบบที่ไม่มีสิทธิ์ในการเข้าถึงฐานข้อมูล สามารถเข้าไปดูข้อมูลสำคัญได้ อย่างไรก็ตามการโจมตีผ่านช่องโหว่นี้จำเป็นจะต้องได้รับสิทธิ์บางอย่างเพิ่มเติมก่อน ดังนั้นจึงไม่ใช่ช่องโหว่ที่จะสามารถถูกโจมตีได้อย่างง่ายดาย
มีการออกแพทช์เพื่อแก้ไขช่องโหว่ไปเมื่อวันที่ 30 กันยาที่ผ่านมา โดยมีการอัพเดตเป็นเวอร์ชั่นใหม่ ดังนี้
vBulletin 5.5.4 Patch Level 2
vBulletin 5.5.3 Patch Level 2
vBulletin 5.5.2 Patch Level 2
แนะนำให้ผู้ดูแลระบบทำการอัพเดตเพื่อป้องกันไม่ให้ข้อมูลผู้ใช้งานของตนเอง ตกไปอยู่ในมือผู้ไม่หวังดี
ที่มา: thehackernews.