Serious Vulnerability Found in vBulletin SEO Plugin
تیم vbulletin به تمام مشتریان خود را در مورد یک آسیب پذیری امنیتی بالقوه در پلاگین VBseo هشدار داده است. آسیب پذیری (CVE–2014-9463) بنا به گزارش Internet Brands کشف شده است. از جایی که VBSEO دیگر گسترش پیدا نمیکند بعید است نسخه جدیدی از آن ارائه شود.
برای رفع این مشکل سه راه حل وجود دارد:
– حذف کامل افزونه VBSEO از سایت
– اعمال پچ توصیه شده توسط تیم اصلی Vbulletin
– استفاده از فایروال در جهت جلوگیری و بهره برداری از این آسیب پذیری و بسیاری مشکلات امنیتی دیگر.
به نظر با استفاده از دسترسی از راه دور یک اسکریپت HTML غیر تصدیق شده unauthenticated به محتوای سایت inject میشود. ممکن است این تغییر از طریق کنترل کامل خط فرمان انجام شود.البته این موضوع بطور کامل تایید نشده است.
قسمتی از عملکرد این آسیب پذیری بصورت زیر است:
The vulnerability can be patched by removing a couple of lines of code from the vbseo/includes/functions_vbseo_hook.php file. However, vBulletin noted that users should apply these changes at their own risk.
