Xakep #305. Многошаговые SQL-инъекции
В рамках программы Beyond Security’s SecuriTeam Secure Disclosure были раскрыты детали о двух критических уязвимостях в составе vBulletin, которые обнаружили специалисты итальянской компании TRUEL IT и независимый эксперт, пожелавший остаться неизвестным. Как минимум одна из проблем позволяет удаленному атакующему выполнить произвольный код в контексте сервера приложений vBulletin.
Хотя проблемы затрагивают сразу пять последних версий vBulletin, исправлений для них пока нет. В Beyond Security сообщили, что пытаются связаться с разработчиками vBulletin с конца ноября 2017 года, однако получить ответ от компании так и не удалось. Представители vBulletin сообщили СМИ, что не получили никаких писем, связанных с описанными проблемами, и уже работают над созданием патчей.
Первая проблема описывается как баг, связанный с включением файлов (file inclusion). Уязвимость распространяется на vBulletin, установленный на Windows-серверах. Неаутентифицированный атакующий может эксплуатировать баг путем отправки специально подготовленного GET-запроса к index.php. В итоге злоумышленник сможет внедрить вредоносный PHP-код в файл на сервере (например, в access.log), а затем «включить» (include) этот файл, манипулируя параметром routestring= в запросе. В результате код атакующего будет выполнен.
Вторая проблема получила идентификатор CVE-2017-17672. Данная проблема связана с десериализацией и может использоваться как для удаления произвольных файлов, так и для выполнения произвольного кода «при определенных обстоятельствах».
Для обеих проблем были опубликованы не только подробные технические детали, но и proof-of-concept эксплоиты.