Lücke in Webforen-Software vBulletin

vBulletin ist eine in der Skriptsprache PHP geschriebne Software und vor allem als Content Management System für Webforen beliebt. Durch ein jetzt aufgedecktes Sicherheitsleck lassens sich mit vBulletin betrieben Internet-Angebote hacken.

Die identifizierte Schwachstelle erlaubt Angreifern, den Konfigurationsmechanismus von vBulletin zu missbrauchen, indem sie ein zweites Administratorkonto anlegen. Ist das geschehen, erlangt der Angreifer den Sicherheitsexperten des Imperva Application Defense Center (ADC) zufolge die volle Kontrolle über das Forenprogramm und gleichzeitig über die Webseite, die mit vBulletin verwaltet wird.

Ein Angreifer soll wegen des Bugs in der Foren-Anwendung zum Erstellen eines weiteren Administratorkontos lediglich die exakte URL der angreifbaren vBulletin-Routine „upgrade.php“ sowie die Customer-ID benötigen. Um an diese Informationen zu gelangen, könnten Hacker ein PHP-Script einsetzen, dass die Website nach dem gesuchten Pfad durchsucht und gleichzeitig die Customer-ID entschlüsselt, die sich in der angreifbaren „upgrade.php“-Seite im Quellcode verbirgt. Mit diesen Informationen ausgestattet, kann der Angriff beginnen.

Die Entwickler von vBulletin haben in ihrem Blog bereits eine Lösung des Sicherheitsproblems beschrieben und geben Tipps für betroffene Nutzer.

Positiv, das die Entwickler von vBulletin so schnell reagiert und den Angriffsweg geschlossen haben.