Usuarios de vBulletin advertidos de exploit potencial

Publicado el 3 septiembre 2013 ¬ 16:22 pmh.mscComentarios desactivados en Usuarios de vBulletin advertidos de exploit potencial

Los desarrolladores del popular foro de Internet, vBulletin, están investigando un exploit potencial y alertando a los usuarios para que borren la carpeta “install” de sus despliegues como una precaución.
“Un vector del exploit potencial fue encontrado en los directorios de instalación de vBulletin 4.1+ y 5+” anunció Wayne Luke, jefe de soporte técnico de vBulletin Solutions, esta semana en el foro de la comunidad de vBulletin. “Nuestros desarrolladores están investigando este fallo en este momento. Si se considera necesario, lanzaremos los parches necesarios”.

Luke advierte a los usuarios que borren la carpeta “install” de sus instalaciones de vBulletin para mitigar el fallo que aún no ha sido revelado. La carpeta que debe ser borrada es “/install” para las versiones 4.1.x de vBulletin y “/core/install” para las versiones 5.x.

Esta carpeta normalmente contiene los scripts y archivos empleados durante el proceso de instalación y las actualizaciones subsecuentes.

En la sección “Limpiar después de instalar” del manual de usuarios de vBulletin se advierte borrar todos los archivos y subcarpetas de “install” como una precaución de seguridad. Sin embargo, no se recomienda borrar la carpeta.

No es claro lo que el exploit actualmente investigado puede permitir hacer a los atacantes potenciales, pero el hecho de impulsar una advertencia por parte de los desarrolladores sugiere que puede tener serias implicaciones.

Luke no aceptó proporcionar información sobre la naturaleza del exploit. “Lo siento, pero por los intereses de seguridad de nuestros proveedores, no podemos discutir el fallo ahora”, dijo el jueves vía correo electrónico.

“Al buscar en nuestras bitácoras, no vemos ningún escaneo específico para /core/install, pero vemos peticiones constantes para /install”, dijo Daniel Cid, jefe de seguridad en Sucuri, una compañía que provee monitoreo de seguridad a sitios web y servicios de limpieza de malware, en una entrada de blog. “No sabemos aún si está relacionado a vBulletin o a otros gestores de contenidos”.

 Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies