vBulletin团队近日向他们所有客户发出警告，其插件VBSEO出现了严重安全漏洞。VBSEO是一款应用于vBulletin且非常普及的第三方seo模块，糟糕的是VBSEO官方已经在去年停止更新此插件，也就是说没有人能为漏洞提供官方补丁。

　　科普：vBulletin论坛系统

　　vBulletin是世界上用户非常广泛的PHP论坛系统，很多大型论坛都选择vBulletin搭建自己的社区。vBulletin高效，稳定，安全，在中国也有很多大型客户，比如蜂鸟网，51团购，海洋部落等在线上万人的论坛都在使用。

　　vBulletin团队对这个漏洞进行了研究，预计其可能是一个不需要认证的远程html脚本注入漏洞，这完全可能会演变成一个远程命令执行漏洞。遗憾的是，我们还没有完全掌握其细节。不过可以肯定的是，这个漏洞是非常严重的，黑客可以利用它进行恶意软件挂马，发送垃圾邮件，或者直接拿下网站。

　　安全建议

　　如果你正在使用VBSEO，可以使用以下安全措施：

　　1.直接抛弃VBSEO，毕竟它已经不再更新

　　2.打上vBulletin给出的补丁

　　3.在网站上装WAF，统一规避这一类的问题

　　官方修复方法

　　这里有一个简单的修复方法，只需更改几行代码

　　在vbseo/includes/functions_vbseo_hook.php里：

　　if(isset($_REQUEST[‘ajax’]) && isset($_SERVER[‘HTTP_REFERER’]))

　　$permalinkurl = $_SERVER[‘HTTP_REFERER’].$permalinkurl；

　　应该改为：

　　// if(isset($_REQUEST[‘ajax’]) && isset($_SERVER[‘HTTP_REFERER’]))

　　// $permalinkurl = $_SERVER[‘HTTP_REFERER’].$permalinkurl；

　　如果你正在运行“可疑文件版本”检测工具，你需要在更新在upload/includes/md5_sums_crawlability_vbseo.php里functions_vbseo_hook.php的MD5值，以保证这个简单的补丁不会报毒。