Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Gravi vulnerabilità in vBulletin 5.5.x

remote code execution  SQL injection  vBulletin   giovedì, 10 ottobre 2019

vBulletin è una piattaforma software per la gestione di forum specialistici e community online molto diffusa in ambito commerciale.

Sono state recentemente scoperte tre diverse vulnerabilità in vBulletin, la più grave delle quali potrebbe essere sfruttata da un attaccante remoto per eseguire codice arbitrario sui server affetti.

La prima vulnerabilità (CVE-2019-17132) deriva da una validazione insufficiente dei parametri d’utente “data[extension]” e “data[filedata]” passati in input alla funzione “ajax/api/user/updateAvatar” allo scopo di aggiornare l’avatar dell’utente. Questa vulnerabilità può essere sfruttata per iniettare ed eseguire codice PHP arbitrario. Per poter essere sfruttata la vulnerabilità richiede che sia abilitata l’opzione “Save Avatars as Files” (disabilitata per impostazione predefinita).

Lo scopritore della falla ha rilasciato pubblicamente un exploit funzionante.

Le altre due vulnerabilità (riunite sotto l’unico identificativo CVE-2019-17271) derivano da una validazione insufficiente delle chiavi del parametro “where” passate in input alla funzione “ajax/api/hook/getHookList” e successivamente utilizzate in una query SQL. Se sfruttate con successo, queste vulnerabilità possono consentire ad un attaccante di estrarre dati potenzialmente sensibili dal database mediante attacchi di tipo SQL injection.

Il produttore MH Sub I, LLC ha rilasciato patch di sicurezza per le versioni di vBulletin 5.5.2, 5.5.3 e 5.5.4. Vista la gravità delle falle, si raccomanda di scaricare ed applicare gli aggiornamenti di sicurezza messi a disposizione dal produttore il più presto possibile.

Per maggiori informazioni su queste vulnerabilità e sugli aggiornamenti disponibili, è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Vulnerabilità critica in VMware ESXi e Horizon DaaS

9 dicembre 2019

VMware ha rilasciato un avviso di sicurezza relativo a una vulnerabilità critica nei prodotti VMware ESXi e Horizon DaaS che può causare l'esecuzione di codice da remoto.Leggi tutto

Aggiornamento di sicurezza Android (dicembre 2019)

4 dicembre 2019

Google ha rilasciato l'aggiornamento di sicurezza di dicembre che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Aggiornamento di sicurezza Android (novembre 2019)

6 novembre 2019

Google ha rilasciato l'aggiornamento di sicurezza di novembre che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto