Se publica vulnerabilidad zero-day de tipo RCE que afecta a vBulletin

Un investigador de seguridad reveló el 11 de agosto pasado, detalles sobre una prueba de concepto para una vulnerabilidad crítica (zero-day) de ejecución remota de código que afecta al conocido software de foros de Internet vBulletin, que ya está bajo explotación activa.

vBulletin es un paquete de software de foro de Internet basado en el servidor de base de datos PHP y MySQL que funciona con más de 100.000 sitios web en Internet, incluidos los sitios web y foros de empresas del top Fortune 500.

En septiembre del año pasado, un investigador de seguridad anónimo reveló de forma pública una vulnerabilidad RCE de día cero en el software vBulletin, identificada como CVE-2019-16759, y recibió una calificación CVSS de 9.8, lo que permite a los atacantes ejecutar comandos maliciosos en el servidor remoto, sin necesitar autenticación para acceder al foro. Un día después de la divulgación de CVE-2019-16759, el equipo de vBulletin lanzó parches de seguridad que resolvieron el problema, pero resultó que el parche fue insuficiente para mitigar la explotación de la falla.

El equipo de seguridad de vBulletin respondió inmediatamente a la falla de día cero publicada, y lanzó un nuevo parche de seguridad que deshabilita el módulo PHP en el software vBulletin para solucionar el problema, asegurando a sus usuarios que se eliminará por completo en la versión futura de vBulletin 5.6.4.

vBulltin recomienda a los desarrolladores que consideren vulnerables todas las versiones anteriores de vBulletin y actualicen sus sitios a su última versión 5.6.2 lo antes posible. Los administradores de sitios web pueden consultar el artículo Updating vBulletin Connect en los foros de soporte para obtener más información sobre la actualización. En caso de no poder realizar la actualización de forma inmediata, mitigar la afectación del fallo de seguridad:

  • En el panel de administración de vBulletin, clic en Settings > Options.
  • Elegir «General Settings» y clic en «Edit Settings».
  • Buscar la opción «Disable PHP, Static HTML, and Ad Module rendering» y clic en «Yes».
  • Clic en «Save».

Referencias: