Ongepatchte beveiligingslekken in vBulletin openbaar gemaakt

[Captain Kirk]

Een securitybedrijf heeft informatie over twee ongepatchte beveiligingslekken in de populaire forumsoftware vBulletin openbaar gemaakt waardoor een aanvaller op afstand code kan uitvoeren of willekeurige bestanden kan verwijderen. De kwetsbaarheden zijn aanwezig in vBulletin 5.

Allerlei populaire websites maken gebruik van de forumsoftware, waarbij moet worden opgemerkt dat vBulletin 4 nog altijd het grootste marktaandeel van de verschillende vBulletin-versies heeft. De kwetsbaarheden werden door onderzoekers aan securitybedrijf Beyond Security gemeld, dat onderzoekers voor bugmeldingen betaalt. Beyond Security claimt dat het vBulletin op 21 november voor het eerst heeft gewaarschuwd, maar ondanks herhaaldelijke pogingen ontving het securitybedrijf geen reactie. 22 dagen later besloot Beyond Security om de details openbaar te maken.

VBulletin laat op de eigen website weten dat het helemaal niet door het securitybedrijf is benaderd. De eerste keer dat vBulletin over de kwetsbaarheden werd ingelicht was via de posting van Beyond Security, aldus supportmedewerker Wayne Luke. Volgens de softwareontwikkelaar is het risico dat de kwetsbaarheden worden aangevallen klein en is er een update in ontwikkeling. Deze update zal "binnenkort" beschikbaar komen.

 

 

bron: security.nl