vBulletin widgetConfig remote code execution vulnerability
CVE-2019-16759
Sources
https://seclists.org/fulldisclosure/2019/Sep/31
https://nvd.nist.gov/vuln/detail/CVE-2019-16759
Risques
Exécution de code arbitraire à distance (sans authentification préalable).
Description
vBulletin est la plateforme de discussion en ligne la plus populaire par part de marché. Le 24 novembre, un chercheur en sécurité anonyme a publié pour vBulletin 5.x une validation de concept pour cette vulnérabilité d'exécution de code arbitraire à distance sans authentification. En termes de vulnérabilité logicielles, c’est une vulnérabilité extrêmement sérieuse.
Notez que vBulletin peut être incorporé dans votre site Web en tant que composant sans que vous en soyez conscient. Si votre site Web dispose d'une fonctionnalité de discussion utilisateur, contactez votre administrateur système et demandez-lui de vérifier si elle utilise vBulletin comme composant.
Actions recommandées
CERT.be recommande aux administrateurs système de vérifier si vBulletin est une dépendance dans leur environnement et de le mettre à jour immédiatement selon les instructions du fournisseur.