漏洞描述
vBulletin是一个收费低廉但强大的建站BBS(论坛)CMS.该CMS国外大量论坛使用,中国国内少许网站使用.近日,vBulletin 5.x爆出一个前台SQLI漏洞,无需登录即可触发.
CVE编号
CVE-2020-12720
漏洞威胁等级
高危
影响范围
5.5.6pl1 <= vBulletin
5.6.0 <= vBulletin <= 5.6.0pl1
5.6.1 <= vBulletin <= 5.6.1pl1
漏洞验证
修复建议
参考官方引导安装补丁即可
时间轴
[0] 2020/05/18 亚信安全网络攻防实验室分析&复现该漏洞并发布漏洞通告
Reference
https://www.vbulletin.com/en/customer/account/login/?goto=aHR0cHM6Ly9tZW1iZXJzLnZidWxsZXRpbi5jb20vcGF0Y2hlcy5waHA%3D
https://zh-tw.tenable.com/blog/cve-2020-12720-vbulletin-urges-users-to-patch-undisclosed-security-vulnerability?tns_redirect=true
https://zh-tw.tenable.com/blog/cve-2020-12720-vbulletin-urges-users-to-patch-undisclosed-security-vulnerability?tns_redirect=true