Система управления контентом vBulletin версии 4.x и 5.x стала жертвой автоматизированной атаки через незакрытую критическую уязвимость, позволяющую получить полный контроль над веб-сайтом. Уязвимость была обнаружена еще в августе этого года, в модуле установки системы "upgrade.php". Специально сформированный запрос позволяет злоумышленнику создать дополнительного пользователя с правами администратора системы. Специалисты информационной безопасности из Imperva обнаружили в Сети свободно распространяемый эксплоит для этой уязвимости. Напомним, что с подобной уязвимостью ранее сталкивались и другие системы управления, в том числе и самая популярная из них - WordPress. По данным W3Techs система управления контентом vBulletin занимает 6 место по популярности, наиболее используемые версии 4 и 3. vBulletin используют для своих веб-проектов такие компании, как Zynga, Electronic Arts, Sony Pictures, NASA, Valve Corporation и многие другие. Для противодействия зафиксированной атаки, разработчики рекомендую удалить каталоги установки системы: "/install" и "/core/install".
Подробности