漏洞預警:知名論壇系統vBulletin常用SEO插件VBSEO存在嚴重安全
責編:admin |2015-01-09 12:40:50vBulletin團隊近日向他們所有客戶發出警告,其插件VBSEO出現了嚴重安全漏洞。VBSEO是一款應用于vBulletin且非常普及的第三方seo模塊,糟糕的是VBSEO官方已經在去年停止更新此插件,也就是說沒有人能為漏洞提供官方補丁。
科普:vBulletin論壇系統
vBulletin是世界上用戶非常廣泛的PHP論壇系統,很多大型論壇都選擇vBulletin搭建自己的社區。vBulletin高效,穩定,安全,在中國也有很多大型客戶,比如蜂鳥網,51團購,海洋部落等在線上萬人的論壇都在使用。
vBulletin團隊對這個漏洞進行了研究,預計其可能是一個不需要認證的遠程html腳本注入漏洞,這完全可能會演變成一個遠程命令執行漏洞。遺憾的是,我們還沒有完全掌握其細節。不過可以肯定的是,這個漏洞是非常嚴重的,黑客可以利用它進行惡意軟件掛馬,發送垃圾郵件,或者直接拿下網站。
安全建議
如果你正在使用VBSEO,可以使用以下安全措施:
1.直接拋棄VBSEO,畢竟它已經不再更新
2.打上vBulletin給出的補丁
3.在網站上裝WAF,統一規避這一類的問題
官方修復方法
這里有一個簡單的修復方法,只需更改幾行代碼
在vbseo/includes/functions_vbseo_hook.php里:
if(isset($_REQUEST[‘ajax’]) && isset($_SERVER[‘HTTP_REFERER’]))
$permalinkurl = $_SERVER[‘HTTP_REFERER’].$permalinkurl;
應該改為:
// if(isset($_REQUEST[‘ajax’]) && isset($_SERVER[‘HTTP_REFERER’]))
// $permalinkurl = $_SERVER[‘HTTP_REFERER’].$permalinkurl;
如果你正在運行“可疑文件版本”檢測工具,你需要在更新在upload/includes/md5_sums_crawlability_vbseo.php里functions_vbseo_hook.php的MD5值,以保證這個簡單的補丁不會報毒。