破绽预警:有名论坛系统vBulletin经常使用SEO插件
bbin糖果派对
bbin糖果派对
admin
2020-04-07 04:28

  *本文中触及到的相干破绽已报送厂商并掉掉落修复,本文仅限技巧研究与评论辩论,严禁用于正当用途,否则发生的一切结果自行承当。

  

  

  vBulletin团队近日向他们一切客户收回正告,其插件VBSEO出现了严重平安破绽。VBSEO是一款应用于vBulletin且十分普及的第三方搜刮引擎优化模块,蹩脚的是VBSEO官方曾经在客岁中断更新此插件,也就是说没有人能为破绽供给官方补丁。

  Freebuf科普:vBulletin论坛系统

  vBulletin是世界上用户十分遍及的PHP论坛系统,很多大年夜型论坛都选择vBulletin搭建自己的社区。vBulletin高效,动摇,平安,在中国也有很多大年夜型客户,比如蜂鸟网,51团购,陆地部落等在线上万人的论坛都在应用。

  vBulletin团队对这个破绽停止了研究,估计其能够是一个不需求认证的远程html脚本注入破绽,这完全能够会演变成一个远程敕令履行破绽。遗憾的是,我们还没有完整控制其细节。不外可以必然的是,这个破绽是十分严重的,黑客可以应用它停止恶意软件挂马,发送残余邮件,或许直接拿下网站。

  平安建议

  假设你正在应用VBSEO,可以应用以下平安办法:

  官方修复方法

  这里有一个复杂的修复方法,只需更改几行代码

  在vb搜刮引擎优化/includes/functions_vb搜刮引擎优化_hook.php里:

  应当改成:

  假设你正在运转“可疑文件版本”检测对象,你需求在更新在upload/includes/md5_sums_crawlability_vb搜刮引擎优化.php里functions_vb搜刮引擎优化_hook.php的MD5值,以保证这个复杂的补丁不会报毒。

  [参考起源sucuri,由FreeBuf小编dawner翻译整顿,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]