近日，有报道指出vBulletin开发者网站遭遇黑客攻击并且泄露了将近48万vBulletin用户的敏感信息。

在遭遇黑客攻击后，vBulletin官方紧急强制性要求用户重置密码，他们警告用户：攻击者可能利用我们的系统漏洞得到了一些用户ID以及加密后的密码。随即，vBulletin官网提及了一个用于连接5.1.4版本与5.1.9版本的安全补丁。

官方未回应

值得注意的是，即使该漏洞已经被利用并且对成千上万使用vBulletin程序套件的论坛网站造成了威胁，官方却并未就此漏洞给出一个明确的警告。ARS要求vBulletin官方对此作出回应，然而请求至今没有收到答复，因此笔者得到的信息包括来自尚未被明确证实的推断信息。

福昕阅读器官网中枪

事件持续发酵中，就在上周末，一位“coldzer0”告知大众媒体以及课题组，他攻破了vBulletin官方网站并且得到了479895位用户的隐私信息，作为攻陷证据，他将泄漏的数据截屏放在了文章的顶部，并且将数据泄露的视频更新到了yutube和Facebook，他声称：

该漏洞还严重威胁到了福昕阅读器的论坛网站，在写这篇稿子的时候，福昕阅读器的论坛已处于瘫痪状态。

紧接着星期二晚，有人将一份漏洞分析报告贴到了网上，报告中称此漏洞已经存在三年之久，并且黑客可以通过远程执行代码来控制vBulletin的用户论坛网站。

让我们把这些零碎的报道整理一下：这是vBulletin 软件无法推卸的一个0day漏洞，利用这个0day，黑客几乎可以完全控制使用vBulletin软件的论坛，如果真实情况如此，网站的管理员们应当立即停止当前所有操作并且安装补丁，对于可能泄漏账户密码的用户来说，应当立即修改当前密码，并且为防止撞库，用户应当修改其他网站中使用的相同密钥。截止笔者写稿之际，一些使用vBulletin的网站都已经暂停运作，其中包括一些针对性较强网站如Defcon.org。其实早在两年前，类似的安全隐患也曾经在vBulletin中出现过。

至此，vBulletin和福昕软件的官员还未确认漏洞细节，但是小编就此给出安全建议，FreeBuf也将继续追踪事件进度。

作者：banish

来源：51CTO