vBulletin

Die Schwachstelle steckt im PHP-Modul der Forensoftware vBulletin. Über manipulierte subWidgets-Daten in einer bestimmten Anfrage an die AJAX-Render-Funktion für ein Widget – konkret das gekachelte Tab-Panel – lässt sich aus der Ferne beliebiger Code einschleusen und ausführen. Ein Angreifer schickt also eine präparierte Anfrage an die Render-Schnittstelle und bringt die Software dazu, untergeschobene Befehle auf dem Server auszuführen. Ein solcher Fehler erlaubt es, den Webserver hinter dem Forum vollständig zu übernehmen, Inhalte zu manipulieren, Daten auszulesen oder weitere Schadsoftware abzulegen. Bemerkenswert ist, dass die Lücke aus einer unvollständigen Korrektur einer früheren Schwachstelle derselben Render-Funktion hervorgeht: Die ursprüngliche Reparatur schloss den Angriffsweg nicht vollständig, sodass er sich über die subWidgets-Daten weiterhin auslösen lässt. Betroffen sind selbst betriebene vBulletin-Foren, deren Render-Schnittstelle öffentlich erreichbar ist.