Kritische und bislang ungepatchte Lücken in Forensoftware vBulletin

In der weit verbreiteten Forensoftware vBulletin klaffen zwei Zero-Day-Lücken, warnen Sicherheitsforscher. Nutzen Angreifer die Schwachstellen aus, sollen sie in beiden Fällen unter gewissen Voraussetzungen Schadcode ausführen können. Davon soll die aktuelle Version 5 betroffen sein.

Die Sicherheitsforscher erläutern, dass die vBulletin-Entwickler seit November über die Lücken Bescheid wissen. Bislang sollen sie aber kein Feedback dazu abgegeben haben. Sicherheitspatches stehen demzufolge noch aus.

Die erste Lücke soll Windows-Systeme betreffen, auf denen ein vBulletin-Server läuft. Nutzen Angreifer die Schwachstelle aus, können sie aus der Ferne ohne Authentifizierung PHP-Code in beliebige Dateien auf dem Server schießen und ausführen. Das demonstrieren die Sicherheitsforscher mit ihrem Proof of Concept.

Setzen Angreifer an der zweiten Lücke an, können sie willkürlich Dateien löschen und unter gewissen Umständen ebenfalls Schadcode ausführen. Auch dafür haben sie Proof-of-Conecpt-Code parat. (des)