Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/01/2015
Cross-Site Request Forgery en el gestor de foros vBulletin
Desde vBulletin se publica un aviso en el que alerta de una vulnerabilidad que, en caso de ser explotada, podría permitir a un atacante construir ataques de tipo Cross-Site Request Forgery.Riesgo: Medio
vBulletin,software desarrollado por vBulletin Solutions para la creación y mantenimiento de foros en Internet, está basado en PHP y MySQL. Más de 100.000 sitios utilizan este software, incluyendo compañías como Electronic Arts, Sony, NASA o Steam.
Según confirma vBulletin, el problema afecta a las ramas 4 y 5 y se debe a un control inadecuado contra ataques CSRF (Cross-Site Request Forgery) en el Moderator Control Panel lo que podría permitir a un atacante remoto la realización de este tipo de ataques. Este tipo de vulnerabilidades permiten a un atacante ejecutar funcionalidades de una web determinada a través de la sesión de otro usuario en esa web. De esta forma, un atacante podría tener acceso al servidor con los mismos permisos que el usuario atacado.
Sistemas Afectados: Ramas 4 y 5 de vBulletin.
Referencias:None
Solución:Se han publicado actualizaciones para las versiones 4.2.2 y para la 5.0.0 a la 5.1.5 que solucionan el problema, disponibles desde:
http://members.vbulletin.com/patches.php
Notas:Security Exploit found in vBulletin 5
Security Exploit found in vBulletin 4
vBulletin Moderator Control Panel 4.2.2 CSRF
Fuente: Hispasec una-al-dia