De ontwikkelaars van de populaire forumsoftware vBulletin hebben een beveiligingsupdate uitgebracht voor een ernstige kwetsbaarheid waardoor forums op afstand zijn over te nemen. Het beveiligingslek werd afgelopen zondag door beveiligingsonderzoeker Amir Etemadieh openbaar gemaakt, voordat vBulletin een patch beschikbaar had gesteld.

Vorig jaar september bracht vBulletin een beveiligingsupdate uit voor een ernstige kwetsbaarheid waardoor het mogelijk was om vBulletin-sites op afstand en zonder authenticatie volledig over te nemen. Het beveiligingslek, CVE-2019-16759, werd op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Ook deze kwetsbaarheid werd voor het verschijnen van een beveiligingsupdate openbaar gemaakt.

Dit beveiligingslek werd veroorzaakt door het verwerken van widgets, waardoor een aanvaller zijn code door een php-functie kon laten uitvoeren. Etemadieh ontdekte dat de beveiligingsupdate eenvoudig was te omzeilen waardoor het onderliggende probleem alsnog was te misbruiken. De onderzoeker ontwikkelde een "one line command line exploit" om te demonstreren hoe een aanvaller misbruik van het lek zou kunnen maken.

Ook publiceerde hij twee volledig werkende exploits in Python en Ruby, alsmede een module voor de populaire beveiligingstool Metasploit. Hoewel Etemadieh vBulletin niet had geïnformeerd voor zijn publicatie kwam hij wel met een tijdelijke fix zodat vBulletin-sites zich konden beschermen. Vandaag heeft vBulletin een officiële beveiligingsupdate uitgerold voor vBulletin Connect 5.6.0, 5.6.1 en 5.6.2.