Portal
Foro
Reglamento
Traducciones
CitarA mi me borraron los mensajes privados recibidos jajajajaja. Que estupidez por dios!.
Bueno, sólo quiero decir que ESE nombre de usuario NO aparece en mi lista de usuarios, así que debe haber otra forma más de hacerlo.
18Likes
Esta es una discusión para el tema Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1 en el foro Anuncios Oficiales de vBulletin, bajo la categoría Anuncios y Noticias; Hola a todos.
Esta nota es para informar a todos los usuarios de vBulletin Hispano acerca de un aparente riesgo de seguridad encontrado en cualquier versión anterior a vBulletin 3.8.6 PL1. El detalle del exploit ...
Página:
URL del LinkBack
Acerca de los LinkBacks
Miembro especial
Miembro de diamante
Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1
Hola a todos.
Esta nota es para informar a todos los usuarios de vBulletin Hispano acerca de un aparente riesgo de seguridad encontrado en cualquier versión anterior a vBulletin 3.8.6 PL1. El detalle del exploit se encuentra aquí:
vBulletin 3.8.4 & 3.8.5 Registration Bypass Vulnerability
Funciona de la siguiente manera:
1. Ve a la dirección:
2. Supongamos que en el foro hay un usuario con privilegios administrativos que usa el nombre de usuario ADMINCódigo:http://www.página.com/foro/register.php
3. Regístrate con el nombre de usuario ADMIN�
4. Completa todo el proceso del registro
5. Ahora verás el nombre de usuario que acabas de registrar igual al de ADMIN
El exploit radica en que podrás leer los mensajes privados que reciba el usuario ADMIN.
La solución (temporal):
La solución es temporal, mientras vBulletin Solutions hace oficial el exploit. Se debe evitar que los usuarios utilicen los caracteres & y # en el registro. Para ello, colocar la siguiente expresión regular en:
AdminCP -> Opciones de vBulletin -> Opciones de Registro de Usuarios -> Expresión Regular de Nombre de Usuario
Con eso, los usuarios solo podrán utilizar cualquier caracter alfanumérico, los símbolos @ y _, y el espacio para su nombre de usuario.Código:^[a-zA-Z0-9\.@_ ]+$
En breve se estará enviando un comunicado a todos los usuarios de vBulletin Hispano, y debido a la gravedad del asunto, se enviará también a todos aquellos que han declinado en recibir correos de parte nuestra.
Fuentes:
Serious security flaws found in vBulletin 4.0.x branch - Axivo Forums
Discusión en vBulletin.com:
vBulletin Community Forum
Saludos cordiales.
"... porque creo firmemente en que algún día habrá una sola nación, hablaremos un mismo idioma, compartiremos la misma ilusión, estaremos unidos por un mismo sentimiento y las fronteras dejarán de existir... y algún día cambiaremos, y todo será mejor... "
Miembro especial
Re: Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1
A mi me borraron los mensajes privados recibidos jajajajaja. Que estupidez por dios!.
Bueno, sólo quiero decir que ESE nombre de usuario NO aparece en mi lista de usuarios, así que debe haber otra forma más de hacerlo.
Miembro especial
Miembro de diamante
Re: Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1
Hola MaRµ,
Creo que no has entendido el exploit. Se puede utilizar cualquier nombre de usuario existente en el foro que tenga privilegios de acceso administrativos, no necesariamente debe ser ese usuario. Por ejemplo, tú eres administrador(a) en tu foro, y tu nombre de usuario es MaRµ. Quien desee aprovecharse del exploit, se registrará con el nombre de usuario MaRµ�.
"... porque creo firmemente en que algún día habrá una sola nación, hablaremos un mismo idioma, compartiremos la misma ilusión, estaremos unidos por un mismo sentimiento y las fronteras dejarán de existir... y algún día cambiaremos, y todo será mejor... "
Miembro especial
Re: Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1
Agrego: Ni ese ni ningun usuario administrador similar a los que tengo.
Jajaja justo agregué la info despues de tu post. Si, me había percatado.
No hay ningún usuario parecido ni SIMIL a mis usuarios administradores... insisto que debe haber otra forma. Igual gracias. El tema es por donde tengo que empezar a fijarme donde esta el bug.... ya que tengo mas de 30.000 usuarios.
Miembro especial
Miembro de diamante
Re: Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1
AdminCP -> Usuarios -> Buscar por UsuariosIniciado por MaRµ
"... porque creo firmemente en que algún día habrá una sola nación, hablaremos un mismo idioma, compartiremos la misma ilusión, estaremos unidos por un mismo sentimiento y las fronteras dejarán de existir... y algún día cambiaremos, y todo será mejor... "
Miembro especial
Re: Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1
si, eso ya esta hecho, pero el asunto es que NO necesariamente tiene que ser el nick SIMILAR a los usuarios administradores. Por ende, tu sugerencia me queda demasiado grande.
Esta información es relevante, ya que VERIFICO que NO necesariamente tiene que ser un nick de registro SIMILAR a los administradores.
Tengo un "par" de años vbulletin =D
Miembro especial
Miembro de diamante
Re: Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1
No es necesario que busques más, si no ha aparecido ningún usuario con un nombre de usuario similar al de algún administrador en tu comunidad. El bug solamente afecta cuentas con privilegios administrativos
Aún así, si deseas insistir, esta sentencia SQL servirá:
SELECT `username` FROM `user` WHERE `username` LIKE '%�%'
Yo uno
"... porque creo firmemente en que algún día habrá una sola nación, hablaremos un mismo idioma, compartiremos la misma ilusión, estaremos unidos por un mismo sentimiento y las fronteras dejarán de existir... y algún día cambiaremos, y todo será mejor... "
Miembro especial
Miembro de plata
Miembro especial
Miembro de oro
Re: Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1
Verdad gracias por el aviso osea en esas versiones encontraron esos exploit y pueden registrarse usando eso simbolos..
Nuevamente gracias por esa informacion a los usuarios que usan esas versiones corregir lo mas pronto posible con la solucion temporal..
Saludos
Miembro especial
Miembro especial
Re: Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1
Una duda, y si yo tengo de users administrativo a pepe y pepa y registros los users pepe� y pepa� no se supone que ya nadie podrá hacerlo y por ende, el problema está solucionado? Igual lo he entendido mal, ya que son las 7 y acabo de levantarme. Saludos y muchas gracias por el aviso.
Miembro especial
Miembro de diamante
Re: Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1
Hola Juan,
Aunque registres esos nombres de usuario, los caracteres � desaparecerán del nombre de usuario y podrán volver a registrarse; lo recomendable es aplicar la expresión regular. Recuerda que puedes agregar a la expresión regular tantos símbolos como desees permitir, dentro de los paréntesis cuadrados.
Saludos.
"... porque creo firmemente en que algún día habrá una sola nación, hablaremos un mismo idioma, compartiremos la misma ilusión, estaremos unidos por un mismo sentimiento y las fronteras dejarán de existir... y algún día cambiaremos, y todo será mejor... "
Miembro especial
Miembro de plata
Miembro
Re: Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1
Unos de mis foros esta cerrado. Lo utilizo para proposito de RSS y Adsense solamente y es version 3.8.4. Nade que preocuparme aqui? Ni PMs tiene el admin. Gracia por la alerta.
Banned
Miembro de diamante
