El
equipo de desarrollo de vBulletin ha publicado un aviso en el que alerta de una
vulnerabilidad que podría permitir a un atacante construir ataques de Cross-Site
Request Forgery.
vBulletin es un software
desarrollado por vBulletin Solutions, para la creación y mantenimiento de foros
en Internet. Está basado en PHP y MySQL y según la propia compañía más de
100.000 sitios funcionan bajo este sistema, incluyendo compañías como
Electronic Arts, Sony, NASA o Steam.
Según confirma vBulletin, el
problema afecta a las ramas 4 y 5. El problema se debe a un control inadecuado contra
ataques CSRF (Cross-Site Request Forgery) en el Moderator Control Panel lo que
podría permitir a un atacante remoto la realización de este tipo de ataques. Este
tipo de vulnerabilidades permiten a un atacante ejecutar funcionalidades de una
web determinada a través de la sesión de otro usuario en esa web. De esta forma
un atacante podría tener acceso al servidor con los mismos permisos que el
usuario atacado.
Se han publicado actualizaciones
para las versiones 4.2.2 y para la 5.0.0 a la 5.1.5 que solucionan el problema,
disponibles desde:
Más información:
Security Exploit found in vBulletin 5
Security Exploit found in vBulletin 4
vBulletin Moderator Control Panel 4.2.2 CSRF
Antonio Ropero
Twitter: @aropero
También hay un granve fallo en el módulo VBSEO para vBullentin
ResponderEliminarhttp://blog.sucuri.net/2015/01/serious-vulnerability-on-vbseo.html