綜述：

vBulletin是一款強(qiáng)大，靈活并可完全根據(jù)自己的需要定制的論壇程序套件。盡管是商業(yè)產(chǎn)品，但從市場(chǎng)份額和實(shí)際使用量上看，vBulletin還是當(dāng)今最受歡迎的Web論壇軟件包。

當(dāng)?shù)貢r(shí)間24號(hào)，據(jù)外媒報(bào)道，有匿名安全研究員在公開郵件列表中發(fā)布了vBulletin的一個(gè)0day漏洞詳情。該漏洞允許攻擊者在不擁有目標(biāo)論壇賬戶的情況下，在運(yùn)行vBulletin的服務(wù)器上執(zhí)行Shell命令，是一個(gè)無(wú)需身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行漏洞。

漏洞公開發(fā)布之初，尚不清楚匿名研究人員是否向vBulletin團(tuán)隊(duì)報(bào)告了該漏洞或者vBulletin團(tuán)隊(duì)是否未能及時(shí)解決此問(wèn)題，從而促使研究人員公開發(fā)布。該0day僅影響vBulletin 5.x版本。

在此后的幾天內(nèi)，有組織報(bào)告發(fā)現(xiàn)有在野攻擊者試圖利用CVE-2019-16759進(jìn)行攻擊。一些vBulletin論壇的管理員也反映在該漏洞披露后，管理的網(wǎng)站上出現(xiàn)了web shell。

當(dāng)?shù)貢r(shí)間26日，vBulletin開發(fā)者發(fā)布了針對(duì)該漏洞的補(bǔ)丁。請(qǐng)相關(guān)用戶參考以下安全建議進(jìn)行修復(fù)。

參考鏈接：

[1]https://www.zdnet.com/article/anonymous-researcher-drops-vbulletin-zero-day-impacting-tens-of-thousands-of-sites/

[2]公開郵件列表

https://seclists.org/fulldisclosure/2019/Sep/31

[3]http://feedproxy.google.com/~r/Securityweek/~3/MqX-Favv0oU/vbulletin-patches-vulnerability-exploited-wild

[4]官方通告

https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4422707-vbulletin-security-patch-released-versions-5-5-2-5-5-3-and-5-5-4

安全建議： 

vBulletin官方已發(fā)布針對(duì)以下版本的安全補(bǔ)丁，請(qǐng)前往https://www.vbulletin.com/en/customer/account/login/?goto=aHR0cHM6Ly9tZW1iZXJzLnZidWxsZXRpbi5jb20vcGF0Y2hlcy5waHA%3D 

建議使用5.5.2之前版本的用戶盡快升級(jí)到受保護(hù)的版本。