Дата публикации: 10.10.2013
Дата изменения: 10.10.2013
Всего просмотров: 1104
Опасность: Высокая
Наличие исправления: Инстуркции по устранению
Количество уязвимостей: 1
CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C
/I
/A
/E:H/RL:W/RC:C) = Base:7.5/Temporal:7.1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Активная эксплуатация уязвимости
Уязвимые продукты: vBulletin 4.x
vBulletin 5.x
Уязвимые версии: vBulletin версии 4.x, 5.x
Описание:
Уязвимость позволяет удаленному пользователю получить административный доступ к приложению.
Уязвимость существует из-за неизвестной ошибки в сценарии /install/upgrade.php. Удаленный пользователь может с помощью специально сформированного запроса создать новую административную учетную запись и получить полный контроль над приложением.
Уязвимость активно эксплуатируется в настоящее время.
URL производителя: http://www.vbulletin.com/
Решение: Способов устранения уязвимости не существует в настоящее время. В качестве временно решения производитель рекомендует удалить установочные директории /install/ или /core/install/.
Ссылки:
http://www.vbulletin.com/forum/forum/vbulletin-announcements/vbulletin-announcements_aa/3991423-potential-vbulletin-exploit-vbulletin-4-1-vbulletin-5
http://www.vbulletin.org/forum/showthread.php?p=2443431
где взять POC?