vBulletin verrät MySQL-Login

vBulletin öffnet Hackern Tür und Tor.
Bild: heise Security Eine kritische Sicherheitslücke in der weit verbreiteten Forensoftware vBulletin führt dazu, dass Angreifer mit minimalem Aufwand an die Zugangsdaten des MySQL-Servers gelangen. Füttert man das FAQ-Modul mit dem Suchbegriff "Database", präsentiert es dem Besucher die vertraulichen Daten auf dem Silbertablett, wie man diversen Blogs entnehmen kann.

Mit den Zugangsdaten haben Angreifer die Macht über den gesamten Datenbestand des Forums, einschließlich der persönlichen Daten der Forenuser. Betroffen ist laut Hersteller Version 3.8.6 der Software. Ein Patch ist bereits verfügbar. Bei einer kurzen Google-Recherche stieß heise Security auf zahllose verwundbare Seiten, die sich für den Angriff ausnutzen ließen.(rei)