Tim pemelihara proyek vBulletin baru-baru ini mengumumkan pembaruan perbaikan penting tetapi tidak mengungkapkan informasi apa pun tentang kerentanan keamanan yang mendasarinya, yang diidentifikasi sebagai CVE-2020-12720.
Ditulis dalam bahasa pemrograman PHP, vBulletin adalah perangkat lunak forum populer yang mendukung lebih dari 100.000 situs web di Internet, termasuk forum untuk beberapa perusahaan top di berbagai belahan dunia.
Mempertimbangkan bahwa perangkat lunak forum populer juga merupakan salah satu target favorit bagi para peretas, menahan perincian kerentanan keamanan tentu saja dapat membantu banyak situs web menerapkan perbaikan sebelum peretas dapat mengeksploitasi kerentanan untuk tujuan berbahaya.
Namun, seperti yang sudah-sudah, para peneliti dan peretas akan terus melakukan reverse-engineering terhadap perangkat lunak untuk menemukan dan memahami kerentanan.
National Vulnerability Database (NVD) menganalisis kerentanan dalam vBulletin dan mengungkapkan bahwa ditemukannya kerentanan kritis yang berasal dari masalah kontrol akses yang salah. Kerentanan ini memengaruhi versi vBulletin sebelum 5.5.6pl1, 5.6.0 sebelum 5.6.0pl1, dan 5.6.1 sebelum 5.6.1pl1.
“Jika pengguna menggunakan versi vBulletin 5 Connect sebelum 5.5.2, maka pengguna harus segera memperbaharuinya,” kata vBulletin.
Baca Juga: “Plugin WordPress Ninja Forms Perbaiki Kerentanan Yang Berdampak Pada Sekitar 1 Juta Situs“
Meskipun tidak ada proof-of-concept yang tersedia pada saat artikel ini diterbitkan atau informasi tentang kerentanan yang dieksploitasi oleh aktor ancaman, namun diprediksi eksploitasi untuk kerentanan ini tidak akan membutuhkan banyak waktu untuk muncul ke permukaan Internet.
Sementara itu, Charles Fol, seorang insinyur keamanan di Ambionics, mengkonfirmasi bahwa ia menemukan dan secara bertanggung jawab melaporkan kerentanan ini kepada tim vBulletin, dan memiliki rencana untuk merilis lebih banyak informasi dalam konferensi SSTIC.
vBulletin released a patch addressing a critical vulnerability I reported through @ambionics. Patch your software. Details will be released during @sstic.
— Charles Fol (@cfreal_) May 8, 2020
Administrator forum sangat disarankan untuk mengunduh dan menginstal perbaikan untuk masing-masing versi berikut dari perangkat lunak forum vBulletin yang digunakan sesegera mungkin.
- 5.6.1 Patch Level 1
- 5.6.0 Patch Level 1
- 5.5.6 Patch Level 1
