Trovato un bug che consente di eseguire codice arbitrario tramite VBullettin, un popolare script PHP per gestire forum.

 

Il bug consiste in un mancato controllo dell'input nel file "forumdisplay.php" che consente, ad un attaccante, di inserire codice arbitrario, che verrà eseguito con i privilegi del webserver.

Il bug è efficace solo se la funzione 'showforumusers' è attiva.

 

un exploit di esempio può essere il seguente:

 

www.example.com/forumdisplay.php

 

Si raccomanda di effettuare l'aggiornamento a versione superiori alla 3.0.4.

 

Testo completo dell'advisor: