Une vulnérabilité critique affectant les forums vBulletin a été corrigée

Référencée CVE-2020-12720, les développeurs n’ont pas partagé de détails sur cette vulnérabilité.
Écrit en langage PHP, vBulletin est un logiciel de forum sur Internet largement utilisé et qui alimente plus de 100 000 sites web, y compris les forums de certaines grandes entreprises.

L’équipe de développement de vBulletin a déclaré qu’il était impératif de mettre à jour les serveurs si la version de vBulletin Connect 5 est antérieure à 5.5.6.

Bien qu’il n’y ait pas encore de preuve de concept disponible ou d’information sur la vulnérabilité, les journalistes de TheHackerNews ont déclaré qu’un code d’exploitation pour cette vulnérabilité devrait faire surface sur Internet dans peu de temps, du fait de la popularité de vBulletin.

Il est conseillé aux administrateurs des forums vBulletin de télécharger et d’installer dès que possible les correctifs pour les différentes versions de l’application.

Depuis, le chercheur à l’origine de la vulnérabilité a partagé plus de détails dans un tweet. Cette vulnérabilité serait une injection SQL préauthentification, permettant d’élever ses privilèges et d’exécuter du code arbitraire avec les privilèges administrateur.