Sqall Blog

Ja, das grosse vBulletin Board hat eine doch ziemlich grosse Luecke in ihrem FAQ Modul. Dieser Bug gibt einem die Datenbank Zugriffsdaten aus, wenn man einen Suchbegriff eingibt. Auch wenn ich die Luecke in bugtraq ignoriert habe und erst durch heise darauf aufmerksam wurde (deshalb etwas verspaetet von mir der Eintrag), habe ich es doch auch ausprobiert.

Wenn man in google einfach mal nach "Powered by vBulletin 3.8.6" sucht, findet man einige Foren mit der vBulletin Version, die anfaellig fuer die Luecke ist. Die meisten sind allerdings schon gepatcht. Dennoch findet man vereinzelt noch Foren, die nicht auf dem neusten Stand sind. Dort geht man einfach auf FAQ oder Hilfe (je nach Sprache) und gibt als Suchbegriff "database" oder "datenbank" ein (auch je nach Sprache). Das Ergebnis ist entweder gar nichts oder eben die Zugriffsdaten auf die MySQL-Datenbank. Da viele Leute, die IT-Systeme administrieren, lieber andere Jobs ausueben sollten, wird diese Luecke wohl noch weit verbreitet sein (ich habe sogar vBulletin Boards in der Version 3.8.4 noch gefunden).




Viel spass beim austesten.