El equipo de desarrollo de vBulletin ha publicado un
aviso en el que alerta de una vulnerabilidad de inyección SQL.
vBulletin es un
software desarrollado por vBulletin Solutions, para la creación y mantenimiento
de foros en Internet. Está basado en PHP y MySQL y según la propia compañía más
de 100.000 sitios funcionan bajo este sistema, incluyendo compañías como
Electronic Arts, Sony, NASA o Steam.
Recursos afectados
- Según confirma vBulletin, el problema afecta a las versiones 5.0.4, 5.0.5, 5.1.0, 5.1.1 y 5.1.2.
- La vulnerabilidad podría permitir a un usuario malicioso realizar ataques de inyección SQL sobre la base de datos, con todas las implicaciones que ello puedo llevar. Es decir, extraer toda la información y contenido de la base de datos, e incluso a partir de ahí comprometer todo el sistema.
- Por ejemplo podemos recordar el caso del ataque a los foros de Ubuntu, donde al atacante le bastó conseguir una cuenta de moderador de los foros para obtener las cuentas de todos los usuarios y los hashes de sus contraseñas.
- El grupo Romanian Security Team (RST) ha publicado un vídeo en el que se muestra la vulnerabilidad y confirma el reporte a vBulletin, que ofrecerán todos los detalles tras la publicación del parche. https://www.youtube.com/watch?v=C84Z2yCGKAE
- vBulletin para la tranquilidad de todos su usuarios, ha confirmado que como parte de su mantenimiento todos los Cloud Sites, también han sido actualizados.
- Security Patch Release for vBulletin 5.0.4, 5.0.5, 5.1.0, 5.1.1, and 5.1.2 http://www.vbulletin.com/forum/forum/vbulletin-announcements/vbulletin-announcements_aa/4097503-security-patch-release-for-vbulletin-5-0-4-5-0-5-5-1-0-5-1-1-and-5-1-2
- [RST] vBulletin 5.1.2 SQL Injection https://www.youtube.com/watch?v=C84Z2yCGKAE