• Votre panier est vide.

  • LOGIN

Une vulnérabilité critique non divulguée affecte les forums vBulletin – Patch Now


Certains articles de veille peuvent faire l'objet de traduction automatique.


Si vous gérez un forum de discussion en ligne basé sur le logiciel vBulletin, assurez-vous qu’il a été mis à jour pour installer un nouveau correctif de sécurité qui corrige une vulnérabilité critique.

Les responsables du projet vBulletin ont récemment annoncé une importante mise à jour du patch mais n’ont pas révélé d’informations sur la vulnérabilité de sécurité sous-jacente, identifiée comme CVE-2020-12720.

Rédigé en langage de programmation PHP, vBulletin est un logiciel de forum Internet largement utilisé qui alimente plus de 100 000 sites web sur Internet, y compris les forums de certaines entreprises du Fortune 500 et de nombreuses autres entreprises de premier plan.

Étant donné que le populaire logiciel de forum est également l’une des cibles préférées des pirates, le fait de cacher les détails de la faille pourrait, bien sûr, aider de nombreux sites web à appliquer des correctifs avant que les pirates puissent les exploiter pour compromettre les sites, les serveurs et leurs bases de données utilisateurs.

Cependant, comme par le passé, les chercheurs et les pirates informatiques ont déjà commencé à faire de la rétro-ingénierie pour localiser et comprendre la vulnérabilité du logiciel.

La base de données nationale sur la vulnérabilité (NVD) analyse également la faille et a révélé que la faille critique provenait d’un problème de contrôle d’accès incorrect qui affecte le vBulletin avant 5.5.6pl1, 5.6.0 avant 5.6.0pl1, et 5.6.1 avant 5.6.1pl1.

« Si vous utilisez une version de vBulletin 5 Connect antérieure à la 5.5.2, il est impératif que vous effectuiez la mise à jour dès que possible », a déclaré vBulletin.

Bien qu’il n’y ait pas de code de preuve de concept disponible au moment de la rédaction de cette nouvelle ou d’informations sur la vulnérabilité exploitée dans la nature, on pouvait s’attendre à ce qu’une exploitation de la faille ne prenne pas beaucoup de temps pour faire surface sur Internet.

En attendant, Charles Folun ingénieur en sécurité chez Ambionics, a confirmé qu’il a découvert et signalé cette vulnérabilité à l’équipe du vBulletin, et qu’il prévoit de publier plus d’informations lors de la conférence SSTIC prévue le mois prochain.

Il est conseillé aux administrateurs des forums de télécharger et d’installer dès que possible les correctifs respectifs pour les versions suivantes de leur logiciel de forum.

  • 5.6.1 Niveau de patch 1
  • 5.6.0 Niveau 1 du patch
  • 5.5.6 Niveau de patch 1

Voir aussi :

décembre 27, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)