综述

vBulletin 是一款强大，灵活并可完全根据自己的需要定制的论坛程序套件。尽管是商业产品，但从市场份额和实际使用量上看，vBulletin还是当今最受欢迎的Web论坛软件包。

当地时间 24 号，据外媒报道，有匿名安全研究员在公开邮件列表中发布了 vBulletin的一个 0day 漏洞详情。该漏洞允许攻击者在不拥有目标论坛账户的情况下，在运行vBulletin的服务器上执行Shell命令，是一个无需身份验证的远程代码执行漏洞。

漏洞公开发布之初，尚不清楚匿名研究人员是否向vBulletin团队报告了该漏洞, 或者vBulletin团队是否未能及时解决此问题，从而促使研究人员公开发布。该0day 仅影响 vBulletin 5.x 版本。

在此后的几天内，有组织报告发现有在野攻击者试图利用CVE-2019-16759进行攻击。一些vBulletin论坛的管理员也反映在该漏洞披露后，管理的网站上出现了web shell。

当地时间 26 日，vBulletin 开发者发布了针对该漏洞的补丁。请相关用户参考以下安全建议进行修复。

参考链接：

[1] https://www.zdnet.com/article/anonymous-researcher-drops-vbulletin-zero-day-impacting-tens-of-thousands-of-sites/

[2] 公开邮件列表

https://seclists.org/fulldisclosure/2019/Sep/31

[3] http://feedproxy.google.com/~r/Securityweek/~3/MqX-Favv0oU/vbulletin-patches-vulnerability-exploited-wild

[4] 官方通告

https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4422707-vbulletin-security-patch-released-versions-5-5-2-5-5-3-and-5-5-4

安全建议

vBulletin 官方已发布针对以下版本的安全补丁，请前往 https://www.vbulletin.com/en/customer/account/login/?goto=aHR0cHM6Ly9tZW1iZXJzLnZidWxsZXRpbi5jb20vcGF0Y2hlcy5waHA%3D 下载：

• 5.4 Patch Level 1
• 5.3 Patch Level 1
• 5.2 Patch Level 1

建议使用5.5.2之前版本的用户尽快升级到受保护的版本。