发布日期：2019-09-24
更新日期：2019-09-25

受影响系统：

VBulletin VBulletin 5.0.0-5.5.4

描述：

---

CVE(CAN) ID: CVE-2019-16759

vBulletin 是一款强大，灵活并可完全根据自己的需要定制的论坛程序套件。

vBulletin 5.x-5.5.4版本，在ajax/render/widget_php routestring请求中的widgetConfig[code]参数存在安全漏洞，该漏洞允许攻击者在不拥有目标论坛账户的情况下，在运行vBulletin的服务器上执行Shell命令。

<*来源：vendor
  *>

建议：

---

厂商补丁：

VBulletin
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://www.vbulletin.com/en/customer/account/login/?goto=aHR0cHM6Ly9tZW1iZXJzLnZidWxsZXRpbi5jb20vcGF0Y2hlcy5waHA%3D

参考：
https://seclists.org/fulldisclosure/2019/Sep/31

浏览次数：1914
严重程度：0（网友投票）