Kritische Sicherheitslücken von Vanilla Forums gefährden über 500 Tausend Webseiten

31 Mai 2017
Kritische Sicherheitslücken von Vanilla Forums gefährden über 500 Tausend Webseiten

Die Probleme erlauben es den Übeltätern, Zielressourcen stark zu schädigen. Der Forscher Dawid Golunski warnte vor zwei gefährlichen Lücken im offenen Foren-Engine VANILLA FORUMS, welches auf über 500 Tausend Webseiten verwendet wird. Durch die Instrumentalisierung der Probleme kann der unbefugte Angreifer Fernkontrolle über die Zielressourcen erlangen.

Die Lücken CVE-2016-10033 (ermöglicht einen Fernzugriff auf die Codeausführung) und CVE-2016-10073 (Host Header Injection) greifen auf die letzte Version des Engine - Vanilla Forums 2.3. Nach Aussage des Fachmannes, bestehen die Sicherheitslücken deshalb, weil in Vanilla Forums nach wie vor eine anfällige Version der beliebten freien PHP-Bibliothek des PHPMailers verwendet wird.
Im vergangenen Jahr berichtete Golunski bereits von der Anfälligkeit des PHPMailers, die es dem Übeltäter erlaube, einen willkürlichen Kode im Kontext des Webservers auszuführen und damit die Zielapplikation vollständig zu beschädigen.
Der Experte veröffentlichte ein Video, in dem er veranschaulichte, wie ein Exploit für die obengenannte Lücke in Verbindung mit dem Problem CVE-2016-10073 für die Implementierung willkürlicher Befehle in HTTP-Namenszeile HOST missbraucht werden kann.

Der Böswillige sei in der Lage, zum Aufbrechen des Nutzer-Accounts, beispielsweise des vom Admin, mittels Versendung einer extradefinierten HTTP-Namenszeile HOST, CVE-2016-10073 gesondert zu nutzen und damit die Zurücksetzung des Passwortes für den Account zu veranlassen.

Das beschriebene Verfahren kann nach einem ähnlichen Prinzip mit PoC-Exploit bei Sicherheitslücken in WordPress funktionieren, worüber sich Golunski vergangene Woche äußerte. Der Forscher reichte sein Bericht über die Lücken an die Entwickler des Vanilla Forums im Januar dieses Jahres ein, dennoch bleiben die Probleme nach fünf Monaten nach wie vor ungelöst.

Zurück zur Liste

Bitte geben Sie Ihre E-Mail Adresse ein um
NET WÄCHTER 14 Tage kostenlos zu testen.

  Ich bestätige die AGB's und Datenschutzerklärung


   Ja, ich möchte den NET WÄCHTER Newsletter abbonnieren. Mir ist bekannt, dass ich den Newsletter jederzeit abbestellen kann.


Bitte füllen Sie das Formular aus.

  Ich bestätige die AGB's, Partnervereinbarung's und Datenschutzerklärung



Vielen Dank für ihre Interesse an NET WÄCHTER Partnerprogramm und ihre Registrierung.

Ihre Anfrage wird bearbeitet und unser Channel Manager nimmt bald Kontakt mit Ihnen auf.

Hier können Sie unsere Partnerpräsentation herunterladen:
Partnerpräsentation