Banalny SQL injection w popularnym vBulletin (nie wymaga posiadania konta). Nowa era wycieków oficjalnie ogłoszona ;)

14 maja 2020, 11:34 | W biegu | 0 komentarzy
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Dość enigmatyczna informacja pojawiła się na oficjalnym forum vBulletin-u:

A security exploit has been reported within vBulletin 5.6.1. To fix this issue, we have created a new security patch.

Szukając nieco dalej (CVE-2020-12720), można znaleźć informację że chodzi m.in. o SQL injection w API, nie wymagający uwierzytelnienia. Zaprezentowano też bardzo prosty PoC, którego może tutaj bezpośrednio nie podamy.

vBulleting to jeden z najpopularniejszych silników forów dyskusyjnych, z aż 20 letnią historią. Sama podatność to też ciekawy przykład, że podatność SQL injection ma się cały czas „dobrze”. Swoją drogą poświęciliśmy jej cały rozdział w naszej książce o bezpieczeństwie aplikacji WWW.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz