更新:vBulletin における任意のコード実行の脆弱性(CVE-2019-16759)について
【概要】
vBulletin は、フォーラムサイトを構築するソフトウェアです。
この vBulletin において、任意のコード実行の脆弱性が確認されています。
この脆弱性が悪用された場合、遠隔の第三者によって、任意のコードを実行される可能性があります。
本脆弱性を悪用し、ウェブサイトへバックドアを設置しようと試みる攻撃通信が観測されています。
すでに攻撃コードの公開が確認されており、今後被害が拡大する可能性があるため、早急に修正プログラムを適用して下さい。
---2020/8/11 更新---
vBulletin における任意のコード実行の脆弱性(CVE-2019-16759)への対策を回避可能な脆弱性が確認されています。
既に攻撃コードが公開されており、本脆弱性を悪用する攻撃も確認されています。
ベンダから、新たな修正プログラムが公開されているため、早急に適用して下さい。
【影響を受けるシステム】
vBulletin 5.x から 5.5.4
---2020/8/11 更新---
以下は、CVE-2019-16759 への対策を回避可能な脆弱性に関する情報です。
- 5.6.2
- 5.6.1
- 5.6.0
※ 上記バージョン以外でも脆弱性の影響を受ける可能性があります。詳細はベンダに確認してください。
【対策】
1.脆弱性の解消 - 修正プログラムの適用
ベンダから提供されている修正プログラムを適用して下さい。各バージョンの対応状況は、下記リンクよりご確認ください。- vBulletin Security Patch Released. Versions 5.5.2, 5.5.3, and 5.5.4 - vBulletin Community Forum
https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4422707-vbulletin-security-patch-released-versions-5-5-2-5-5-3-and-5-5-4
---2020/8/11 更新---
以下は、CVE-2019-16759 への対策を回避可能な脆弱性に関する情報です。
- vBulletin 5.6.0, 5.6.1, 5.6.2 Security Patch
https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4445227-vbulletin-5-6-0-5-6-1-5-6-2-security-patch
【参考情報】
- vBulletin Security Patch Released. Versions 5.5.2, 5.5.3, and 5.5.4 - vBulletin Community Forum
https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4422707-vbulletin-security-patch-released-versions-5-5-2-5-5-3-and-5-5-4 - NVD - CVE-2019-16759
https://nvd.nist.gov/vuln/detail/CVE-2019-16759 - 【注意喚起】フォーラム構築ソフト「vBulletin」の深刻な脆弱性(CVE-2019-16759)で攻撃通信の急増確認 | セキュリティ対策のラック
https://www.lac.co.jp/lacwatch/alert/20190926_001937.html
---2020/8/11 更新---
以下は、CVE-2019-16759 への対策を回避可能な脆弱性に関する情報です。
-
vBulletin 5.6.0, 5.6.1, 5.6.2 Security Patch
https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4445227-vbulletin-5-6-0-5-6-1-5-6-2-security-patch
出典:独立行政法人情報処理推進機構(IPA)