「vBulletin」に脆弱性、過去のパッチ不備で問題再燃 - すでに攻撃も
「CVE-2020-17496」は、「CVE-2019-16759」のパッチが提供された従来バージョンはもちろん、これまで「CVE-2019-16759」の対象とされていなかった「vBulletin 5.6.2」「同5.6.1」「同5.6.0」も影響を受けるため注意が必要だ。
脆弱性の悪用は容易で、すでに攻撃も発生している。セキュリティ研究者のJeff Moss氏は、DEF CONのフォーラムが攻撃対象となったことをTwitterで明らかにし、パッチ未適用の環境においてPHPによる表示を無効化するなど対策を講じていたことから影響を受けなかったとしている。
「vBulletin」の開発チームは、あらたな脆弱性の指摘を受け、米時間8月10日に「同5.6.2」「同5.6.1」「同5.6.0」に対して修正パッチを用意。「同5.5.X」など旧バージョンにも脆弱性が存在するが、修正にあたっては「同5.6.2」へのアップグレードが必要になるとしている。
同脆弱性の判明を受けて、情報処理推進機構(IPA)などセキュリティ機関では情報を更新。注意喚起を行っている。
(Security NEXT - 2020/08/13 )
ツイート
関連リンク
PR
関連記事
「vBulletin」狙った改ざん攻撃 - 他攻撃者のコード実行は制限
「vBulletin」に複数脆弱性、パッチが公開 - 前回より2週間弱で
「vBulletin」に修正パッチ - 国内でも攻撃を多数観測、早急に対応を
フォーラム構築ソフト「vBulletin」にゼロデイ脆弱性