El
equipo de desarrollo de vBulletin ha
publicado un aviso en el que alerta de una
vulnerabilidad de inyección SQL.
vBulletin es un software
desarrollado por vBulletin Solutions, para la creación y mantenimiento de foros
en Internet. Está basado en PHP y MySQL y según la propia compañía más de
100.000 sitios funcionan bajo este sistema, incluyendo compañías como Electronic Arts, Sony, NASA o Steam.
Según confirma vBulletin, el
problema afecta a las versiones 5.0.4, 5.0.5, 5.1.0, 5.1.1 y 5.1.2. El grupo
Romanian Security Team (RST) ha publicado un vídeo en el que se muestra la
vulnerabilidad y confirma el reporte a vBulletin, que ofrecerán todos los
detalles tras la publicación del parche.
La vulnerabilidad podría permitir
a un usuario malicioso realizar ataques de inyección
SQL sobre la base de datos, con todas las implicaciones que ello puedo
llevar. Es decir, extraer toda la
información y contenido de la base de datos, e incluso a partir de ahí
comprometer todo el sistema.
Por ejemplo podemos recordar el
caso del ataque a los foros de Ubuntu, donde al atacante le bastó conseguir
una cuenta de moderador de los foros para obtener las cuentas de todos los
usuarios y los hashes de sus contraseñas.
vBulletin también ha confirmado
que como parte de su mantenimiento todos los Cloud Sites, también han sido
actualizados.
Más información:
Security Patch Release for vBulletin 5.0.4,
5.0.5, 5.1.0, 5.1.1, and 5.1.2
una-al-dia (31/07/2013) Crónica
del ataque a los foros de Ubuntu
[RST] vBulletin 5.1.2 SQL
Injection
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario