vBulletin lanza la actualización del parche para las nuevas vulnerabilidades de RCE y SQLi
Después de lanzar un parche para una vulnerabilidad de ejecución remota de código de día cero a fines del mes pasado, vBulletin lanzó recientemente una nueva actualización de parche de seguridad que corrige otras 3 vulnerabilidades de alta gravedad en el software de su foro.
Si no se repara, las vulnerabilidades de seguridad informadas que afectan a vBulletin 5.5.4 y versiones anteriores podrían permitir a los atacantes remotos tomar el control completo de los servidores web específicos y robar información confidencial del usuario.
Escrito en PHP, vBulletin es un paquete de software de foro de Internet patentado ampliamente utilizado que funciona con más de 100.000 sitios web en Internet, incluidos los sitios web y foros de empresas Fortune 500 y Alexa Top 1 millón.
Primera vulnerabilidad descubierta por el investigador de seguridad de aplicaciones Egidio Romano, rastreada como CVE-2019-17132, es un error de ejecución de código remoto, mientras que los otros dos son problemas de inyección de SQL, los cuales están asignados a un solo ID, como CVE-2019-17271.
Defectos de vBulletin RCE y SQLi
La falla de RCE radica en la forma en que el foro vBulletin maneja las solicitudes de los usuarios para actualizar los avatares para sus perfiles de usuario, íconos o representación gráfica, lo que permite a un atacante inyectar y ejecutar código PHP arbitrario en el destino del servidor a través de parámetros no desinfectados.
Sin embargo, debe tenerse en cuenta que esta vulnerabilidad no se puede aprovechar en la instalación predeterminada del foro de vBulletin, pero es posible aprovecharla cuando el administrador del sitio habilita la opción «Guardar avatar como archivo».
Romano también soltó audiencia exploit de prueba de concepto para esta vulnerabilidad RCE.
Las otras dos vulnerabilidades son problemas de lectura de inyección SQL en banda y basados en el tiempo que residen en dos puntos finales separados y podrían permitir a los administradores con privilegios limitados leer datos confidenciales de la base de datos a los que de otro modo no se les permitiría el acceso.
Dado que estos dos defectos de inyección SQL no pueden ser explotados por ningún usuario registrado y requieren permisos especiales, los administradores y usuarios del foro vBulletin no deben entrar en pánico.
Lanzamiento de parches de seguridad
Romano informó responsablemente todas las vulnerabilidades a los mantenedores del proyecto vBulletin la semana pasada, el 30 de septiembre, y el equipo reconoció sus hallazgos y publicó lo siguiente actualizaciones de parches de seguridad que resuelven los defectos reportados.
- vBulletin 5.5.4 Nivel de parche 2
- vBulletin 5.5.3 Nivel de parche 2
- vBulletin 5.5.2 Nivel de parche 2
Se recomienda encarecidamente a los administradores que apliquen el parche de seguridad antes de que los piratas informáticos comiencen a explotar las vulnerabilidades para atacar a los usuarios de sus foros, tal como lo hizo alguien la semana pasada para robar la información de inicio de sesión de casi 245,000 usuarios de Comodo Forums después de que la compañía no aplicó los parches disponibles a tiempo.