El equipo de desarrollo de vBulletin ha publicado un aviso en el que alerta de una vulnerabilidad de inyección SQL.
vBulletin es un software desarrollado por vBulletin Solutions, para la creación y mantenimiento de foros en Internet. Está basado en PHP y MySQL y según la propia compañía más de 100.000 sitios funcionan bajo este sistema, incluyendo compañías como Electronic Arts, Sony, NASA o Steam.
Según confirma vBulletin, el problema afecta a las versiones 5.0.4, 5.0.5, 5.1.0, 5.1.1 y 5.1.2. El grupo Romanian Security Team (RST) ha publicado un vídeo en el que se muestra la vulnerabilidad y confirma el reporte a vBulletin, que ofrecerán todos los detalles tras la publicación del parche.
La vulnerabilidad podría permitir a un usuario malicioso realizar ataques de inyección SQL sobre la base de datos, con todas las implicaciones que ello puedo llevar. Es decir, extraer toda la información y contenido de la base de datos, e incluso a partir de ahí comprometer todo el sistema.
Por ejemplo podemos recordar el caso del ataque a los foros de Ubuntu, donde al atacante le bastó conseguir una cuenta de moderador de los foros para obtener las cuentas de todos los usuarios y los hashes de sus contraseñas.
vBulletin también ha confirmado que como parte de su mantenimiento todos los Cloud Sites, también han sido actualizados.
Más información:
Security Patch Release for vBulletin 5.0.4, 5.0.5, 5.1.0, 5.1.1, and 5.1.2
una-al-dia (31/07/2013) Crónica del ataque a los foros de Ubuntu
[RST] vBulletin 5.1.2 SQL Injection
Antonio Ropero
Twitter: @aropero
Deja una respuesta