El equipo de desarrollo de vBulletin ha publicado un aviso en el que alerta de una vulnerabilidad de inyección SQL.

 vBulletin es un software desarrollado por vBulletin Solutions, para la creación y mantenimiento de foros en Internet. Está basado en PHP y MySQL y según la propia compañía más de 100.000 sitios funcionan bajo este sistema, incluyendo compañías como Electronic Arts, Sony, NASA o Steam.

Detalle de la vulnerabilidad

  •  La vulnerabilidad podría permitir a un usuario malicioso realizar ataques de inyección SQL sobre la base de datos, con todas las implicaciones que ello puedo llevar. Es decir, extraer toda la información y contenido de la base de datos, e incluso a partir de ahí comprometer todo el sistema.
  •  Por ejemplo podemos recordar el caso del ataque a los foros de Ubuntu, donde al atacante le bastó conseguir una cuenta de moderador de los foros para obtener las cuentas de todos los usuarios y los hashes de sus contraseñas.

Recomendación

  •  Según confirma vBulletin, el problema afecta a las versiones 5.0.4, 5.0.5, 5.1.0, 5.1.1 y 5.1.2. El grupo Romanian Security Team (RST) ha publicado un vídeo en el que se muestra la vulnerabilidad y confirma el reporte a vBulletin, que ofrecerán todos los detalles tras la publicación del parche. https://www.youtube.com/watch?v=C84Z2yCGKAE
  • vBulletin también ha confirmado que como parte de su mantenimiento todos los Cloud Sites, también han sido actualizados.

Más información:

Fuente: Hispasec

Anuncios