viernes, 18 de julio de 2014

Inyección SQL en el gestor de foros vBulletin

El equipo de desarrollo de vBulletin ha publicado un aviso en el que alerta de una vulnerabilidad de inyección SQL.

vBulletin es un software desarrollado por vBulletin Solutions, para la creación y mantenimiento de foros en Internet. Está basado en PHP y MySQL y según la propia compañía más de 100.000 sitios funcionan bajo este sistema, incluyendo compañías como Electronic Arts, Sony, NASA o Steam.

Según confirma vBulletin, el problema afecta a las versiones 5.0.4, 5.0.5, 5.1.0, 5.1.1 y 5.1.2. El grupo Romanian Security Team (RST) ha publicado un vídeo en el que se muestra la vulnerabilidad y confirma el reporte a vBulletin, que ofrecerán todos los detalles tras la publicación del parche.

                       https://www.youtube.com/watch?v=C84Z2yCGKAE

La vulnerabilidad podría permitir a un usuario malicioso realizar ataques de inyección SQL sobre la base de datos, con todas las implicaciones que ello puedo llevar. Es decir, extraer toda la información y contenido de la base de datos, e incluso a partir de ahí comprometer todo el sistema.

Por ejemplo podemos recordar el caso del ataque a los foros de Ubuntu, donde al atacante le bastó conseguir una cuenta de moderador de los foros para obtener las cuentas de todos los usuarios y los hashes de sus contraseñas.

vBulletin también ha confirmado que como parte de su mantenimiento todos los Cloud Sites, también han sido actualizados.

Más información:

Security Patch Release for vBulletin 5.0.4, 5.0.5, 5.1.0, 5.1.1, and 5.1.2

una-al-dia (31/07/2013) Crónica del ataque a los foros de Ubuntu

[RST] vBulletin 5.1.2 SQL Injection


Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada