-
-
vBulletin 任意代码执行漏洞
-
发表于:
2015-11-18 14:15
1509
-
新闻链接:
111K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4F1L8Y4k6V1i4K6u0W2L8%4u0Y4i4K6u0W2j5$3&6Q4x3V1k6$3N6h3I4F1k6i4u0S2j5X3W2D9K9i4c8&6i4K6u0r3M7$3S2G2N6#2)9J5c8X3y4$3i4K6g2X3K9h3c8Q4x3V1j5J5x3o6p5#2x3e0p5H3x3e0x3I4
新闻时间:2015-11-16
新闻正文:
vBulletin是美国Internet Brands和vBulletin Solutions公司共同开发的一款开源的商业Web论坛程序。
vBulletin 5.1.4版本至5.1.9版本的decodeArguments方法中的‘unserialize’函数存在安全漏洞,该漏洞源于程序中的API没有验证Ajax请求的来源。未经身份验证的远程攻击者可通过在‘$args’变量中注入特制的对象利用该漏洞调用vB_Api类中的任意public方法,在服务器上执行任意php代码。
目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:
416K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6T1N6h3I4D9k6i4c8A6L8W2)9J5k6h3y4G2L8g2)9J5c8R3`.`.
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
