PT-2020-6319 · Vbulletin · Vbulletin
Zenofex
·
Publicado
2020-08-12
·
Atualizado
2025-11-07
·
CVE-2020-17496
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do vBulletin 5.5.4 a 5.6.2
Descrição
A vulnerabilidade permite a execução remota de comandos por meio de dados subWidgets manipulados em uma solicitação “ajax/render/widget tabbedcontainer tab panel”. Isso se deve a uma correção incompleta de uma vulnerabilidade anterior. A vulnerabilidade pode ser explorada por um invasor remoto para executar comandos arbitrários. Foi relatado que essa vulnerabilidade está sendo ativamente explorada na natureza.
Recomendações
Para as versões 5.5.4 a 5.6.2, considere desativar a solicitação
ajax/render/widget tabbedcontainer tab panel até que um patch esteja disponível. Restrinja o acesso aos dados subWidgets para minimizar o risco de exploração.Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vbulletin