匿名漏洞猎手 发布 了一种有效且简便的漏洞利用程序，用于验证vBulletin的预认证远程代码执行漏洞（CVE-2019-16759），并且攻击者不久后就已开始使用它。

关于vBulletin

vBulletin是当今最流行的互联网论坛软件。

W3Techs表示，在所有互联网站点中大概有0.1％的网站会运行vBulletin，而且其中 只有6.4％ 在使用易受攻击的5.x版本。

开发vBulletin的公司MH Sub I声称，据统计有超过100,000个站点基于这款论坛软件。其客户包括EA，Sony Pictures，Steam，NASA，Zynga等。

许多充当非法服务市场的暗网论坛也基于vBulletin。

关于漏洞（CVE-2019-16759）

CVE-2019-16759影响到的vBulletin版本是5.0.0至5.5.4。漏洞发布的同时，开发该软件的公司仍没有任何应对措施，他们尚未对此情况发表评论或提出修复建议。

该漏洞允许未经身份验证的远程攻击者将特制的HTTP POST请求发送到易受攻击的vBulletin主机并执行命令。

这些命令将于正在使用vBulletin服务的用户帐户权限下执行。根据用户的权限，可能被允许对主机进行完全控制，”研究人员Ryan Seguin 指出 。

尽管vBulletin团队仍未确认该漏洞的存在，但许多安全研究人员已确认该漏洞利用的有效性。

vBulletin自己的在线论坛的部分成员也呼吁该团队尽快发布补丁，并 警告 攻击者不要利用该漏洞进行攻击。

其中一位用户表示，攻击者正试图在脆弱性主机（服务器）上安装PHP Web外壳。

该怎么办？

当用户在等待vBulletin团队的正式补丁和/或缓解建议时，可以尝试实施Cylance高级架构师Nick Cano提供的 临时补丁 ，但可能会破坏某些功能。

另外，他们可以暂时将自己的论坛关闭，或者将其放在Web应用程序防火墙后面，以减轻风险。

原文链接： https://www.helpnetsecurity.com/2019/09/25/cve-2019-16759/