Banalny SQL injection w popularnym vBulletin (nie wymaga posiadania konta). Nowa era wycieków oficjalnie ogłoszona ;)

Dość enigmatyczna informacja pojawiła się na oficjalnym forum vBulletin-u:

A security exploit has been reported within vBulletin 5.6.1. To fix this issue, we have created a new security patch.

Szukając nieco dalej (CVE-2020-12720), można znaleźć informację że chodzi m.in. o SQL injection w API, nie wymagający uwierzytelnienia. Zaprezentowano też bardzo prosty PoC, którego może tutaj bezpośrednio nie podamy.

vBulleting to jeden z najpopularniejszych silników forów dyskusyjnych, z aż 20 letnią historią. Sama podatność to też ciekawy przykład, że podatność SQL injection ma się cały czas „dobrze”. Swoją drogą poświęciliśmy jej cały rozdział w naszej książce o bezpieczeństwie aplikacji WWW.

–ms