Haavoittuvuus vBulletin- keskustelupalstaohjelmistossa

Web-keskustelupalstoilla käytettävään vBulletin-ohjelmistoon on julkaistu päivitys. Päivitys korjaa haavoittuvuuden, joka mahdollistaa hyökkääjän pääsyn palvelimen sisäisiin palveluihin.

vBulletin-ohjelmistosta löydetty SSRF (Server Side Request Forgery ) haavoittuvuus mahdollistaa hyökkääjän pääsyn palvelimen sisäisiin palveluihin, sekä mahdollisesti samassa sisäverkossa oleviin järjestelmiin. Haavoittuvuuden hyväksikäyttäminen ei vaadi kirjautumista keskustelupalstalle.

Haavoittuvuuden vaikutuksia voivat olla esimerkiksi luottamuksellisen tiedon menettäminen, hyökkääjän komentojen suorittaminen palvelimella, roskapostittaminen tai palvelunestotilaan joutuminen, riippuen palvelimella käytössä olevista palveluista.

Haavoittuvuuteen on julkaistu hyväksikäyttömenetelmä. Valmistajalta on saatavissa haavoittuvuuden korjaavat päivitykset eri ohjelmistoversioille.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Kaikki vBulletin ohjelmistoversiot ennen niiden viimeisimpiä versioita. (vBulletin 5.2.3, vBulletin 4.2.4 Beta ja vBulletin 3.8.10 Beta)


Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmistot niiden uusimpiin versioihin valmistajan ohjeiden mukaisesti. Uusimmat ohjelmistoversiot ovat Bulletin 5.2.3, vBulletin 4.2.4 Beta, vBulletin 3.8.10 Beta.


Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248