Les responsables du projet vBulletin ont récemment annoncé une mise à jour importante du correctif mais n’ont révélé aucune information sur la vulnérabilité de sécurité sous-jacente .
Étant donné que le logiciel de forum populaire est également l’une des cibles préférées des pirates, et si vous exécutez un forum de discussion en ligne basé sur le logiciel vBulletin, assurez-vous qu’il a été mis à jour pour installer un correctif de sécurité nouvellement émis qui corrige la vulnérabilité critique, identifiée comme CVE-2020-12720 .
Cependant, tout comme les fois précédentes, les chercheurs et les pirates ont déjà commencé à rétro-concevoir le correctif logiciel pour localiser et comprendre la vulnérabilité. National Vulnerability Database (NVD) analyse également la faille et a révélé que la faille critique provenait d’un problème de contrôle d’accès incorrect qui affecte vBulletin avant 5.5.6pl1, 5.6.0 avant 5.6.0pl1 et 5.6.1 avant 5.6.1pl1.
Bien qu’il n’y ait pas de code de preuve de concept disponible au moment de la rédaction de ces nouvelles ou informations sur la vulnérabilité exploitée dans la nature, un exploit pour la faille ne prendrait pas beaucoup de temps à apparaître sur Internet.
vBulletin released a patch addressing a critical vulnerability I reported through @ambionics. Patch your software. Details will be released during @sstic.
— Charles Fol (@cfreal_) May 8, 2020
Il est conseillé aux administrateurs du forum de télécharger et d’installer les correctifs respectifs pour les versions suivantes de leur logiciel de forum dès que possible. « Si vous utilisez une version de vBulletin 5 Connect antérieure à 5.5.2, il est impératif que vous mettiez à niveau le plus tôt possible », a déclaré vBulletin.
- 5.6.1 Patch niveau 1
- 5.6.0 Patch niveau 1
- 5.5.6 Patch niveau 1
Écrit en langage de programmation PHP, vBulletin est un logiciel de forum Internet largement utilisé qui alimente plus de 100 000 sites Web sur Internet.
Avez vous quelque chose à dire sur cet article? Commentez ci-dessous ou partagez-le !
Source : thehackernews