„vBulletin“ forumų pažeidžiamumas leidžia bet kam sužinoti administratorių prisijungimo duomenis (4)
„vBulletin“ forumus naudojančios interneto svetainės gali lengvai netekti autorizacijos duomenų, būtinų administratoriaus prisijungimui.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
3.8.6 forumo versijoje aptiktas pažeidžiamumas leidžia bet kuriam naršyklę turinčiam žmogui gauti prieigą prie forumo valdymo, o taip pat pasisavinti svarbią informaciją apie jo naudotojus. Praėjusį trečiadienį bendrovė „vBulletin“ išleido šios klaidos pataisymą, tačiau paprasčiausia paieška per „Google“ rodo, kad dauguma forumo naudotojų šio pataisymo neįdiegė, o tai daro jų administratorių prisijungimo duomenis prieinamus praktiškai bet kam.
Pažeidžiamumo eksploatavimas yra ypač paprastas. Viskas, ką reikia padaryti – forumo FAQ skiltyje paieškos lange įvesti žodį „database“. Tokiu būdu forumas parodys viską, ko reikia vartotojo duomenų peržiūrai arba bazės pakitimų atlikimui administratoriaus lygiu.
Ištaisyta forumo versija gavo 3.8.6 PL1 indeksą. Norint įsitikinti jos korektišku įsidiegimu, reikia patikrinti bazėje database_ingo eilutės buvimą. Jei viskas buvo atlikta teisingai, šios eilutės rasti nepavyks.