Les responsables du projet vBulletin ont récemment annoncé une mise à jour comportant un important correctif de sécurité.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Référencée CVE-2020-12720, les développeurs n’ont pas partagé de détails sur cette vulnérabilité.
Écrit en langage PHP, vBulletin est un logiciel de forum sur Internet largement utilisé et qui alimente plus de 100 000 sites web, y compris les forums de certaines grandes entreprises.
L’équipe de développement de vBulletin a déclaré qu’il était impératif de mettre à jour les serveurs si la version de vBulletin Connect 5 est antérieure à 5.5.6.
Bien qu’il n’y ait pas encore de preuve de concept disponible ou d’information sur la vulnérabilité, les journalistes de TheHackerNews ont déclaré qu’un code d’exploitation pour cette vulnérabilité devrait faire surface sur Internet dans peu de temps, du fait de la popularité de vBulletin.
Il est conseillé aux administrateurs des forums vBulletin de télécharger et d’installer dès que possible les correctifs pour les différentes versions de l’application.
Depuis, le chercheur à l’origine de la vulnérabilité a partagé plus de détails dans un tweet. Cette vulnérabilité serait une injection SQL préauthentification, permettant d’élever ses privilèges et d’exécuter du code arbitraire avec les privilèges administrateur.
Correctifs
Les versions de vBulletin corrigées sont les suivantes :
- 5.6.1 Patch Level 1
- 5.6.0 Patch Level 1
- 5.5.6 Patch Level 1
Ces versions sont disponibles depuis l’espace membre vBulletin.
Les sites utilisant vBulletin Cloud ont déjà été mis à jour.
Références
vBulletin 5.6.1 Security Patch Level 1
An Undisclosed Critical Vulnerability Affect vBulletin Forums — Patch Now
This is indeed the vulnerability I reported to @vBulletin