vBulletin’de İki Kritik Güvenlik Açığı

bulletin

İtalya merkezli güvenlik şirketi TRUELIT’in araştırma uzmanı vBulletin’de iki farklı güvenlik açığı keşfetti.

İtalya merkezli güvenlik şirketi TRUELIT’in araştırma uzmanı ve aynı zamanda bağımsız bir güvenlik araştırmacısı vBulletin’de iki farklı güvenlik açığı keşfetti. Hatta bu açıklardan biri uzaktan yapılacak siber saldırılara da müsait. Bahsi geçen güvenlik açığı vBulletin version 5’i etkiliyor.

Bulunan güvenlik açıkları Beyond Security’nin SecuriTeam Secure Disclosure programı altında ortaya çıkarıldı. Beyond Security Kasım 2017’de vBulletin ile iletişime geçip bulduğu güvenlik açıklarını bildirdi ancak vBulletin’den herhangi bir yanıt gelmedi.

Güvenlik açıklarından biri uzaktan kod yürütülmesine izin veriyor yani oldukça tehlikeli bir güvenlik açığı. Bu saldırıyı gerçekleştirmek için ileri bir bilgi gerekmiyor. Basit bir Windows işletim sisteminde de gerçekleştirilebilir. Bahsi geçen güvenlik açığı için henüz bir CVE numarası verilmedi.

Bulunan ikinci güvenlik açığına CVE-2017-17672 kodu verildi. Bu güvenlik açığı sayesinde bir bilgisayar korsanı vBulletin’de dosyaları silebilir veya zararlı kod çalıştırabilir.

Bulunan iki güvenlik açığı da vBulletin tarafından henüz kapatılmadı fakat yakın bir zamanda gerekli yamalar yayınlanacak. Beyond Security firması bulduğu güvenlik açıklarını 21 Kasım 2017 tarihinde bildirdi fakat o zamandan beri hala düzeltmeler yapılmadı. Güvenlik açıkları kötüye kullanılmadan kapatılmasını umuyoruz.

Kaynak: hackread.com