vBulletin

Die Schwachstelle steckt im PHP-Modul der Forensoftware vBulletin. Über die Funktion zur Darstellung sogenannter PHP-Widgets lässt sich eigener Programmcode einschleusen: Ein Angreifer übergibt seinen Schadcode über den Parameter widgetConfig[code] in einer speziell präparierten Anfrage an die Rendering-Funktion für PHP-Widgets. Der so übermittelte Code wird vom Server ausgeführt, ohne dass eine Anmeldung oder besondere Berechtigung erforderlich ist. Damit kann der Angreifer aus der Ferne beliebige Befehle auf dem System ausführen, auf dem das Forum betrieben wird, und sich so die Kontrolle über die Webanwendung und potenziell den darunterliegenden Server verschaffen. Betroffen sind Foren, die mit dieser vBulletin-Reihe betrieben werden. Da Diskussionsforen typischerweise öffentlich aus dem Internet erreichbar sind, ist der Angriffsweg unmittelbar und ohne weitere Hürden offen.