Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/01/2015
Cross-Site Request Forgery en el gestor de fòrums vBulletin
Des de vBulletin es publica un avís en què s'alerta d’una vulnerabilitat que, en cas de ser explotada, podria permetre a un atacant construir atacs de tipus Cross-Site Request Forgery.vBulletin,software desenrotllat per vBulletin Solutions per a la creació i manteniment de fòrums en Internet, està basat en PHP i MySQL. Més de 100.000 llocs utilitzen este programari, incloent-hi companyies com ara Electronic Arts, Sony, NASA o Steam.
Segons confirma vBulletin, el problema afecta les branques 4 i 5 i es deu a un control inadequat contra atacs CSRF (Cross-Site Request Forgery) en el Moderator Control Panel el que podria permetre a un atacant remot la realització d’este tipus d’atacs. Este tipus de vulnerabilitats permeten a un atacant executar funcionalitats d’una web determinada a través de la sessió d’un altre usuari en eixa web. D’esta manera, un atacant podria tindre accés al servidor amb els mateixos permisos que l’usuari atacat.
Sistemes Afectats:Branques 4 i 5 de vBulletin.
Referències:None
Solució:S’han publicat actualitzacions per a les versions 4.2.2 i per a la 5.0.0 a la 5.1.5 que solucionen el problema, disponibles des de:
http://members.vbulletin.com/patches.php
Notes: