Cross-Site Request Forgery en el gestor de foros vBulletin

Publicado en Ciencia y Tecnología, Noticias,


Tweet about this on TwitterShare on Google+1Share on Facebook0Share on LinkedIn0

vBulletin es un software desarrollado por vBulletin Solutions, para la creación y mantenimiento de foros en Internet. Está basado en PHP y MySQL y según la propia compañía más de 100.000 sitios funcionan bajo este sistema, incluyendo compañías como Electronic Arts, Sony, NASA o Steam.

Según confirma vBulletin, el problema afecta a las ramas 4 y 5. El problema se debe a un control inadecuado contra ataques CSRF (Cross-Site Request Forgery) en el Moderator Control Panel lo que podría permitir a un atacante remoto la realización de este tipo de ataques. Este tipo de vulnerabilidades permiten a un atacante ejecutar funcionalidades de una web determinada a través de la sesión de otro usuario en esa web. De esta forma un atacante podría tener acceso al servidor con los mismos permisos que el usuario atacado.

Se han publicado actualizaciones para las versiones 4.2.2 y para la 5.0.0 a la 5.1.5 que solucionan el problema, disponibles desde http://members.vbulletin.com/patches.php


vía Hispasec

Califica esta entrada

Etiquetas:


Deja un comentario

Cuanto es 5 + 5 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos