HackerNews.cc 12 月 18 日消息 ，安全研究人员上周披露了影响 vBulletin 论坛 CMS 版本 5 的两个代码执行漏洞，直至目前漏洞尚未得到修复。研究人员表示希望供应商能够在黑客开始利用这些安全漏洞攻击 vBulletin 之前尽快发布补丁。

vBulletin 是一个基于 PHP 和 MySQL 数据库服务器的专有互联网论坛软件包, 在互联网上为超过 10 万个网站提供支持，其中包括《 财富》 500 强和 Alexa 排名前 100 万的公司网站和论坛。

据悉，这些漏洞是由意大利安全公司 TRUEL IT 的一名专家和一位独立安全研究人员发现的，他们于近期公开了漏洞细节。

第一个漏洞是 vBulletin v5 的远程代码执行漏洞，无 CVE【内含 POC】

攻击者可以将恶意的 PHP 代码包含到服务器上的文件中，例如 access.log，只需在精心构造的请求中使用 [routestring =参数]来包含该文件即可执行恶意代码。

第二个漏洞是 vBulletin v5 的反序列化漏洞（ CVE -2017- 17672 ）【内含 POC】）
    这个漏洞是由于为用户提供的输入上对  PHP 的 unserialize() 的不安全使用，导致未经身份验证的攻击者能够删除任意文件，并且在 vBulletin 安装上执行任意代码。

研究人员解释称，vB_Library_Template 的 cacheTemplates() 函数是一个公开的 API，允许从数据库获取一组给定模板的信息以便将它们存储在缓存变量中。 $ temnplateidlist 变量可以直接从用户输入提供给 unserialize()，从而导致出现反序列化问题。

对于这两个漏洞，研究人员发布了概念验证（PoC）代码来解释其严重程度，并且于 11 月 21 日通报给了 vBulletin 开发团队。尽管 vBulletin 开发团队表示会尽快修复这些漏洞，然而直至目前官方仍未发布有效补丁。

(责任编辑：冬天的宇)