vBulletin多个产品’blog_post.php’安全绕过漏洞

漏洞起因
访问验证错误
危险等级

影响系统
vBulletin 3.x
vBulletin Publishing Suite 4.x

不受影响系统

危害
远程攻击者可以利用漏洞任意张贴博客。

攻击所需条件
攻击者必须访问vBulletin。

漏洞信息
vBulletin是一款基于PHP的应用程序。
vBulletin blog_post.php脚本不正确检查权限,远程攻击者可以利用漏洞张贴博客日志。

测试方法

厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
https://www.vbulletin.com/forum/showthread.php/394259
http://tracker.vbulletin.com/browse/VBIV-13921

漏洞提供者
NCNIPC

评论关闭。