alicy 信安百科
微信号 gh_1a73db5eef37
功能介绍 国内外高危、中危、热点漏洞推送,欢迎大家关注。~^_^~
__发表于
收录于合集
#CVE 46 个
#漏洞分析 18 个
#反序列化 2 个
#代码审计 8 个
#网络安全 32 个
0x00 前言
vBulletin是一个强大,灵活并可完全根据自己的需要定制的商业论坛程序(非开源),它使用PHP脚本语言编写,并且基于以高效和高速著称的数据库引擎MySQL。
0x01 漏洞描述
**
**
vBulletin 允许 未经身份验证的远程攻击者通过触发反序列化的 HTTP 请求执行任意代码。发生这种情况是因为 verify_serialized 通过调用 unserialize 然后检查错误来检查值是否已序列化。
0x02 漏洞编号
0x03 影响版本
**
**
vbulletin 5.6.7
vbulletin 5.6.8
vbulletin 5.6.9
FOFA Query:
app="vBulletin"
0x04 漏洞分析
https://www.ambionics.io/blog/vbulletin-unserializable-but-unreachable
0x05 概念性验证脚本
https://github.com/ambionics/vbulletin-exploits
0x06 历史漏洞
https://www.seebug.org/appdir/vBulletin
推荐阅读:
CNVD-2023-27598 | Apache Solr 代码执行漏洞
推荐产品:
Ps:国内外安全热点分享,欢迎大家分享、转载,请保证文章的完整性。文章中出现敏感信息和侵权内容,请联系作者删除信息。信息安全任重道远,感谢您的支持!!!
** 本公众号的文章及工具仅提供学习参考,由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用者本人负责,本公众号及文章作者不为此承担任何责任。**
预览时标签不可点
微信扫一扫
关注该公众号
知道了
微信扫一扫
使用小程序
取消 允许
取消 允许
: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看