Después de lanzar un parche para una vulnerabilidad crítica de ejecución remota de código de día cero a fines del mes pasado, vBulletin ha publicado recientemente una nueva actualización de parche de seguridad que aborda 3 vulnerabilidades más de alta gravedad en su software de foro.
Si no se repara, las vulnerabilidades de seguridad reportadas, que afectan el vBulletin 5.5.4 y versiones anteriores, eventualmente podrían permitir a los atacantes remotos tomar el control completo sobre los servidores web específicos y robar información confidencial del usuario.
Escrito en PHP, vBulletin es un paquete de software de foro de Internet patentado ampliamente utilizado que impulsa más de 100,000 sitios web en Internet, incluidos Fortune 500 y Alexa.
Descubierta por el investigador de seguridad de aplicaciones Egidio Romano, la primera vulnerabilidad, rastreada como CVE-2019-17132 , es una falla de ejecución remota de código, mientras que las otras dos son problemas de inyección de SQL, a ambas se les asignó una única identificación como CVE-2019-17271 .
vBulletin RCE y fallas SQLi
La falla de RCE reside en la forma en que el foro vBulletin maneja las solicitudes de los usuarios para actualizar los avatares de sus perfiles, un icono o una representación gráfica del usuario, lo que permite que un atacante remoto inyecte y ejecute código PHP arbitrario en el servidor de destino a través de parámetros no autorizados.
Sin embargo, debe tenerse en cuenta que esta vulnerabilidad no es explotable en la instalación predeterminada del foro vBulletin, sino que es posible la explotación cuando el administrador del sitio web habilita la opción «Guardar avatares como archivos».
Romano también lanzó un exploit público de prueba de concepto para esta vulnerabilidad RCE.
Las otras dos vulnerabilidades son problemas de inyección SQL en banda y basados en tiempo que residen en dos puntos finales separados y podrían permitir a los administradores con privilegios restringidos leer datos confidenciales de la base de datos, a los que de otra manera no se les permitiría acceder.
Dado que estos dos defectos de inyección SQL no pueden ser explotados por ningún usuario registrado y requieren permisos especiales, los administradores y usuarios del foro vBulletin no deben entrar en pánico.
Parches de seguridad lanzados
Romano informó de manera responsable todas las vulnerabilidades a los encargados del proyecto vBulletin la semana pasada el 30 de septiembre, y el equipo reconoció sus hallazgos y lanzó las siguientes actualizaciones de parches de seguridad que abordan los defectos reportados.
- vBulletin 5.5.4 Patch Level 2
- vBulletin 5.5.3 Patch Level 2
- vBulletin 5.5.2 Patch Level 2
Se recomienda encarecidamente a los administradores que apliquen el parche de seguridad antes de que los piratas informáticos comiencen a explotar las vulnerabilidades para apuntar a los usuarios de su foro, tal como lo hizo alguien la semana pasada para robar información de inicio de sesión de casi 245,000 usuarios de los foros de Comodo después de que la compañía no pudo aplicar los parches disponibles a tiempo.
Fuente: thehackernews.com
