Después de lanzar un parche para una vulnerabilidad crítica de ejecución remota de código de día cero a fines del mes pasado, vBulletin publicó recientemente una nueva actualización de parche de seguridad que aborda 3 vulnerabilidades más de alta gravedad en su software de foro.
Si no se reparan, las vulnerabilidades de seguridad informadas, que afectan a vBulletin 5.5.4 y versiones anteriores, podrían eventualmente permitir que los atacantes remotos tomen el control total de los servidores web específicos y roben información confidencial de los usuarios.
Escrito en PHP, vBulletin es un paquete de software de foros de Internet patentado ampliamente utilizado que impulsa a más de 100,000 sitios web en Internet, incluidos los sitios web y foros de Fortune 500 y Alexa Top 1 millón de empresas.
Descubierta por el investigador de seguridad de aplicaciones Egidio Romano, la primera vulnerabilidad, rastreada como CVE-2019-17132, es una falla de ejecución remota de código, mientras que las otras dos son problemas de inyección SQL, a ambas se les asignó una sola ID como CVE-2019-17271.
Defectos de vBulletin RCE y SQLi
La falla de RCE reside en la forma en que el foro vBulletin maneja las solicitudes de los usuarios para actualizar los avatares de sus perfiles, un ícono o una representación gráfica del usuario, lo que permite que un atacante remoto inyecte y ejecute código PHP arbitrario en el servidor de destino a través de parámetros no desinfectados.
Sin embargo, debe tenerse en cuenta que esta vulnerabilidad no es explotable en la instalación predeterminada del foro de vBulletin, sino que la explotación es posible cuando el administrador del sitio web habilita la opción «Guardar avatares como archivos».
Romano también ha lanzado un exploit de prueba de concepto público para esta vulnerabilidad RCE.
Las otras dos vulnerabilidades son problemas de inyección SQL de lectura en banda y basada en el tiempo que residen en dos puntos finales separados y podrían permitir a los administradores con privilegios restringidos leer datos confidenciales de la base de datos, a los que de otro modo no se les permitiría acceder.
Dado que estos dos fallos de inyección de SQL no pueden ser explotados por ningún usuario registrado y requieren permisos especiales, los administradores y usuarios del foro de vBulletin no deben entrar en pánico.
Parches de seguridad lanzados
Romano informó responsablemente todas las vulnerabilidades a los mantenedores del proyecto vBulletin la semana pasada, el 30 de septiembre, y el equipo reconoció sus hallazgos y lanzó las siguientes actualizaciones de parches de seguridad que abordan las fallas informadas.
- vBulletin 5.5.4 Nivel de parche 2
- vBulletin 5.5.3 Nivel de parche 2
- Nivel de parche 2 de vBulletin 5.5.2
Se recomienda encarecidamente a los administradores que apliquen el parche de seguridad antes de que los piratas informáticos comiencen a explotar las vulnerabilidades para atacar a los usuarios de sus foros, tal como lo hizo alguien la semana pasada para robar la información de inicio de sesión de casi 245 000 usuarios de los foros de Comodo después de que la empresa no aplicara los parches disponibles a tiempo.