OpenForum RSS: Неисправленная 0-day уязвимость в движке для создания web-фо... https://slinkov.ru/openforum/vsluhforumID3/118558.html Раскрыта информация о неисправленной критической уязвимости (CVE-2019-16759) в движке для создания web-форумов vBulletin, позволяющей выполнить код на сервере через отправку специально оформленного POST-запроса. Для проблемы доступен рабочий эксплоит. vBulletin используется многими открытыми проектами, в том числе на базе данного движка работают форумы Ubuntu, openSUSE, BSD-систем и Slackware...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51559<br> Неисправленная 0-day уязвимость в движке для создания web-фо... (Аноним) https://slinkov.ru/openforum/vsluhforumID3/118558.html#66 Sat, 28 Sep 2019 14:48:17 GMT по сравнению с лором там благодать<br> Неисправленная критическая уязвимость в движке для создания ... (Онаним) https://slinkov.ru/openforum/vsluhforumID3/118558.html#65 Fri, 27 Sep 2019 19:57:40 GMT --- допускает передачу произвольного shell-кода через параметр "widgetConfig[code]" (просто передаётся код для запуска, даже не нужно ничего экранировать)<br><br>--- eval($code)<br><br>Это, простите, не "уязвимость". Это чистый и 100% бэкдор.<br> Неисправленная 0-day уязвимость в движке для создания web-фо... (пох.) https://slinkov.ru/openforum/vsluhforumID3/118558.html#64 Fri, 27 Sep 2019 19:40:26 GMT &gt; На тот момент когда форумы былирелаьно популярны vB был реально одним из лучших<br><br>ну и чо - не воровать-то - никак? прям душа горела, рвалась к лучшим решениям, но (сколько там, кстати было - $100? Сейчас-то подорожала, аж 250 надо отвалить) - денег не было, приходилось держаться?<br><br>А потом плакаться про злобных копирастов, которые унижают и требуют удалить нахрен.<br><br>Хотя, казалось бы, вот тебе опенсорсный phpBB - бери и пили (мы ж за шва6оду, а не за халяву? Вот и допиливали бы потихоньку до нужного уровня фичастости)<br><br>Собственно, по моему опыту - что одно неюзабельное гуано, что другое - ну вот пиратскими торрентами обмениваться кое-как сойдет, а для общения - непригодно в принципе. Поэтому рыночек их всех и порешил, в пользу соцсеточек, где пользователю хотя бы не надо лихорадочно тыкать в миллион мелких кнопочек для каких-то совершенно тривиальных действий и по пол-часа ждать загрузки.<br><br>А более-менее работающие были только те, которые либо выпилены вручную, либо хотя бы сильно допилены владельцами Неисправленная 0-day уязвимость в движке для создания web-фо... (KonstantinB) https://slinkov.ru/openforum/vsluhforumID3/118558.html#63 Fri, 27 Sep 2019 15:32:17 GMT если программист без мозгов и пишет eval-ы где попало, это, конечно, сильно поможет<br> Неисправленная 0-day уязвимость в движке для создания web-фо... (dotgggff) https://slinkov.ru/openforum/vsluhforumID3/118558.html#62 Thu, 26 Sep 2019 18:03:30 GMT а че ему будет датамайнинг, неронка, тесты итд можошь сам(сама) дальше подолжить а что у руби? <br>за руби вроде не чего такого не наблюдалось <br> Неисправленная 0-day уязвимость в движке для создания web-фо... (Аноним) https://slinkov.ru/openforum/vsluhforumID3/118558.html#61 Thu, 26 Sep 2019 15:08:15 GMT Ты забыл аргументировать.<br> Неисправленная критическая уязвимость в движке для создания ... (Kuromi) https://slinkov.ru/openforum/vsluhforumID3/118558.html#60 Thu, 26 Sep 2019 13:50:13 GMT &gt;&gt; Стандартный "привет" от воблы пиратским установкам.<br>&gt; ЕМНИП, апдейты c v3 на v4 вполне бодро продавали еще в ~2016. <br>&gt; А основательно забили на обновления безопасности для четвертой ветки еще в середине <br>&gt; прошлого года.<br><br>А что вы хотите, разрабы Воблы ничего кроме Воблы не производили. С приходом социалочек их рынок резко сократился. Все кому нужны форумы, скажем разработчки\производители для связи с поьзователями либо используют глубоко кастомизированные версии\самописные движки под свои нужды либо держат вяло просматриваемвый форум на бесплатном движке. А массовый клиент ушел, все.<br>Не удивлюсь если компания потихоньку распускает персонал и там просто некому особо что-то чинить.<br> Неисправленная 0-day уязвимость в движке для создания web-фо... (Kuromi) https://slinkov.ru/openforum/vsluhforumID3/118558.html#59 Thu, 26 Sep 2019 13:40:56 GMT &gt; а не воровать-то чужой труд - любители шва6одки не пробовали?<br><br>На тот момент когда форумы былирелаьно популярны vB был реально одним из лучших. Сравниться с ним мог только Invision (тоже платный), и были холивары на тему что лучше. Бесплатные движки вроде phpBB не подходили по провдинутости даже близко.<br>С появление SMF, однако, раскладка сил слегка поменялась, т.к. бесплатный, есть моды, есть штатный установщик и обновлятор модов (никаких ручных правок кода) и SMF в общем несколько оттянул на себя пользователей. А потмо пришли социалочки и сейчас движуха вся там.<br> Неисправленная 0-day уязвимость в движке для создания web-фо... (Аноним) https://slinkov.ru/openforum/vsluhforumID3/118558.html#58 Thu, 26 Sep 2019 12:35:59 GMT А чё, хайп уже прошёл? Фигасе время летит. Как же питон тогда до сих пор трепыхается?<br>