Исследователь в области безопасности, пожелавший остаться неназванным, опубликовал технические детали 0-day уязвимости в движке vBulletin. Этот движок используют ряд популярных онлайн-форумов.
Теперь эксперты опасаются, что в результате публикации сведений о ещё непропатченной проблеме безопасности в Сети поднимется волна атак на форумы. Злоумышленники будут пытаться взломать ресурсы на уязвимом движке и выкрасть данные пользователей.
Проанализировав опубликованный анонимным экспертом код, специалисты пришли к выводу, что уязвимость, о которой идёт речь, может позволить атакующему выполнить шелл-команды на сервере, где запущена уязвимая версия движка vBulletin. При этом злоумышленнику для успешной атаки не требуется наличие учётной записи на атакуемом форуме.
По сути, такие бреши, приводящие к удаленному выполнению кода без аутентификации, являются самыми серьезными типами проблем безопасности для веб-сайтов.
На данный момент непонятно, сообщал ли опубликовавший детали уязвимости человек о проблеме разработчикам vBulletin. Как известно, обычная практика — публиковать PoC-код, если ответственные лица вовремя не выпустили патч.
Если же команда vBulletin была не в курсе данной дыры, это смахивает на крайне непорядочный поступок.
