www.belgium.be Logo of the federal government

vBulletin widgetConfig remote code execution vulnerability

Référence: 
Advisory #2019-022
Version: 
1.0
Logiciels concernés : 
vBulletin 5.x - 5.5.4
Type: 
Exécution de code arbitraire à distance (sans authentification préalable).
CVE/CVSS: 

CVE-2019-16759

Date: 
02/10/2019

Sources

https://seclists.org/fulldisclosure/2019/Sep/31

https://nvd.nist.gov/vuln/detail/CVE-2019-16759

https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4422707-vbulletin-security-patch-released-versions-5-5-2-5-5-3-and-5-5-4

Risques

Exécution de code arbitraire à distance (sans authentification préalable).

Description

vBulletin est la plateforme de discussion en ligne la plus populaire par part de marché. Le 24 novembre, un chercheur en sécurité anonyme a publié pour vBulletin 5.x une validation de concept pour cette vulnérabilité d'exécution de code arbitraire à distance sans authentification. En termes de vulnérabilité logicielles, c’est une vulnérabilité extrêmement sérieuse.

Notez que vBulletin peut être incorporé dans votre site Web en tant que composant sans que vous en soyez conscient. Si votre site Web dispose d'une fonctionnalité de discussion utilisateur, contactez votre administrateur système et demandez-lui de vérifier si elle utilise vBulletin comme composant. 

Actions recommandées

CERT.be recommande aux administrateurs système de vérifier si vBulletin est une dépendance dans leur environnement et de le mettre à jour immédiatement selon les instructions du fournisseur.