lunes, 12 de enero de 2015

Cross-Site Request Forgery en el gestor de foros vBulletin

El equipo de desarrollo de vBulletin ha publicado un aviso en el que alerta de una vulnerabilidad que podría permitir a un atacante construir ataques de Cross-Site Request Forgery. 

vBulletin es un software desarrollado por vBulletin Solutions, para la creación y mantenimiento de foros en Internet. Está basado en PHP y MySQL y según la propia compañía más de 100.000 sitios funcionan bajo este sistema, incluyendo compañías como Electronic Arts, Sony, NASA o Steam.

Según confirma vBulletin, el problema afecta a las ramas 4 y 5. El problema se debe a un control inadecuado contra ataques CSRF (Cross-Site Request Forgery) en el Moderator Control Panel lo que podría permitir a un atacante remoto la realización de este tipo de ataques. Este tipo de vulnerabilidades permiten a un atacante ejecutar funcionalidades de una web determinada a través de la sesión de otro usuario en esa web. De esta forma un atacante podría tener acceso al servidor con los mismos permisos que el usuario atacado.

Se han publicado actualizaciones para las versiones 4.2.2 y para la 5.0.0 a la 5.1.5 que solucionan el problema, disponibles desde:

Más información:

Security Exploit found in vBulletin 5

Security Exploit found in vBulletin 4

vBulletin Moderator Control Panel 4.2.2 CSRF




Antonio Ropero

Twitter: @aropero

1 comentario:

  1. También hay un granve fallo en el módulo VBSEO para vBullentin

    http://blog.sucuri.net/2015/01/serious-vulnerability-on-vbseo.html

    ResponderEliminar