www.belgium.be Logo of the federal government

vBulletin widgetConfig remote code execution vulnerability

Referentie: 
Advisory #2019-022
Versie: 
1.0
Geïmpacteerde software: 
vBulletin 5.x - 5.5.4
Type: 
Willekeurige code-uitvoering op afstand (zonder voorafgaande authenticatie).
CVE/CVSS: 

CVE-2019-16759

Datum: 
02/10/2019

Bronnen

https://seclists.org/fulldisclosure/2019/Sep/31

https://nvd.nist.gov/vuln/detail/CVE-2019-16759

https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4422707-vbulletin-security-patch-released-versions-5-5-2-5-5-3-and-5-5-4

Risico’s

Willekeurige code-uitvoering op afstand (zonder voorafgaande authenticatie).

Beschrijving

vBulletin is het meest populaire online discussieplatform volgens het marktaandeel. Op 24 november publiceerde een anonieme veiligheidsonderzoeker voor vBulletin 5.x een proof of concept voor deze kwetsbaarheid voor externe arbitraire code-uitvoering, deze kan uitgevoerd worden zonder authenticatie. 

Het is mogelijk  dat vBulletin een onderdeel is van uw website. Indien uw website een chat functie heeft, neem dan contact op met uw systeembeheerder, zodat hij/zij kan nagaan of de website kwetsbaar is.

Aanbevolen acties

CERT.be raadt systeembeheerders aan om te controleren of vBulletin een afhankelijkheid is binnen hun omgeving, en de software onmiddellijk bij te werken volgens de instructies van de leverancier.