Tin An Ninh Mạng

Phát hiện lỗ hổng SQL Injection trên vBulletin

hacker 5
Cập nhật ngày 18/07:Theo thống kê của Bkav, hiện tại chỉ có 2-3% Website ở Việt Nam sử dụng phiên bản vBulletin có lỗ hổng này.

Các nhà phát triển vBulletin hiện đang nghiên cứu để đưa ra bản vá cho lỗ hổng SQL Injection phát hiện bởi các thành viên cộng đồng hacker lớn nhất tại Romania – Romanian Security Team (RST). vBulletin là phần mềm phổ biến được sử dụng để xây dựng hàng chục nghìn forum hiện nay, phần mềm cũng là một trong những lựa chọn hàng đầu cho các trang web có lưu lượng cao.

{

}

14908930501_vbulletin.png

RST cho biết nhóm phát hiện ra lỗ hổng khi tiến hành đánh giá an ninh thường kỳ cho forum chạy trên nền tảng vBulletin 5.1.2 của mình. Điều tra kỹ hơn, nhóm bắt gặp một thông báo về lỗi cú pháp SQL và truy vấn “bất thường” khi vBulletin được cài đặt trong chế độ debug.

Nhóm hacker nhận xét lỗ hổng SQL injection này không hề phức tạp, bắt nguồn từ việc một trong các truy vấn của vBulletin chưa được lọc kỹ càng. Điều này cho phép kẻ xấu tiêm một lệnh SQL để đọc và giải nén thông tin của tất cả các admin mà không cần được cho phép.

Từ những thông tin này, tin tặc có thể truy cập vào bảng điều khiển quản trị và từ đó tiếp cận cơ sở dữ liệu chứa các dữ liệu nhạy cảm (account, email, mật khẩu). Thậm chí, kẻ xấu còn có thể thực thi code bằng cách viết code PHP độc hại nếu quyền ghi được kích hoạt.

Mặc dù SQL injection là một trong những hình thức tấn công đơn giản và phổ biến nhất, việc khai thác lỗ hổng lần này vẫn có giá trị với tội phạm mạng bởi chúng có thể truy cập vào các thông tin nhạy cảm.

Nguồn: Softpedia
Re: Phát hiện lỗ hổng SQL Injection trên vBulletin

Hôm qua, ngày 17/07/2014, vBulletin đã ra bản vá khẩn cấp cho lỗ hổng SQL Injection phát hiện bởi nhóm hacker Romania RST. Người dùng vBulletin có thể tải về và cập nhật thủ công đoạn code vá lỗi cho các phiên bản vBulletin 5.0.4, 5.0.5, 5.1.0, 5.1.1 và 5.1.2. Lỗ hổng chỉ tồn tại trên vBulletin 5 (có tên chính thức vBulletin 5 Connect) và không ảnh hưởng đến vBulletin 4.

Những người dùng có site sử dụng dịch vụ đám mây của vBulletin sẽ được cập nhật bản vá tự động. vBulletin bản 5.1.3 đang ở dạng alpha sẽ được vá lỗi trước khi ra mắt.

Nguồn: Computerword
Re: Phát hiện lỗ hổng SQL Injection trên vBulletin

Theo thống kê của Bkav, hiện tại chỉ có 2-3% Website ở Việt Nam sử dụng phiên bản vBulletin có lỗ hổng này.

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !