توسعهدهندگان vBulletin، یکی از نرمافزارها و سیستمهای مدیریت انجمن، اخیراً از انتشار بهروزرسانی مهمی برای وصلهی یک آسیبپذیری بحرانی خبر دادهاند. بااینحال، هیچ اطلاعاتی در مورد این آسیبپذیری که با شناسهی CVE-2020-12720 ردیابی میشود، فاش نشده است.
نرمافزار vBulletin که به زبان برنامهنویسی PHP نوشته شده است، یک نرمافزار پرکاربرد انجمن اینترنتی است که توسط بیش از ۱۰۰هزار وبسایت در اینترنت، از جمله انجمنهای برخی از شرکتهای بزرگ جهان استفاده میشود. از آنجایی که این نرمافزار محبوب، یکی از اهداف مورد علاقهی نفوذگرها است، منتشرنکردن جزئیات این آسیبپذیری به کاربران کمک میکند تا قبل از به خطرافتادن وبسایتها، سرورها و پایگاه دادهی خود، وصلهها را اعمال کنند.
بااینحال، محققان و نفوذگرها درحالحاضر مهندسی معکوس نرمافزار وصلهشده را بهمنظور موقعیتیابی و درک این آسیبپذیری آغاز کردهاند. بانک اطلاعات آسیبپذیری ملی (NVD) نیز درحال تجزیه و تحلیل این نقص بوده و اعلام کرده است که این آسیبپذیری بحرانی از کنترل نادرست دسترسی ناشی میشود و نسخههای قبل از ۵٫۵٫۶pl1، ۵٫۶٫۰ قبل از ۵٫۶٫۰pl1 و ۵٫۶٫۱ قبل از ۵٫۶٫۱pl1 نرمافزار vBulletin را تحت تأثیر قرار میدهد.
همچنین به گفتهی vBulletin، درصورتی که کاربران از نسخهی vBulletin 5 Connect قبل از ۵٫۵٫۲ استفاده میکنند، باید در اسرع وقت نرمافزار خود را بهروز کنند. اگرچه هنوز هیچ کد اثبات مفهومی و یا اطلاعاتی مبنیبر بهرهبرداری از این آسیبپذیری در دنیای واقعی منتشر نشده است، اما انتظار میرود که بهرهبرداری از این نقص در اینترنت، زمان زیادی به طول نکشد. بنابراین، به مدیران انجمنها توصیه میشود تا هرچه سریعتر وصلههای مربوطه را دانلود و نصب کنند.