Esta es una discusión para el tema Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1 en el foro Anuncios Oficiales de vBulletin, bajo la categoría Anuncios y Noticias; Buenas,
No es tan preocupante el tema, tengo una 3.8.5 y he testeado el bug y efectivamente usando los mencionados caracteres al final del username que se desea clonar, en la base de datos se ...
Página: 3
URL del LinkBack
Acerca de los LinkBacks
Re: Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1
Buenas,
No es tan preocupante el tema, tengo una 3.8.5 y he testeado el bug y efectivamente usando los mencionados caracteres al final del username que se desea clonar, en la base de datos se guarda únicamente con el username sin los caracteres especiales quedando clonado al existente, pero no se pueden ver los MP existentes de la cuenta original, aunque no he llegado a probar eso que decís de que los nuevos que se envíen a ese usuario clonado les llega a los dos, cualquiera que atienda y administre medianamente con interés su foro enseguida se daría cuenta del username clonado, a mi todos los días me llegan los avisos de los nuevos registros y en ese aviso si que se muestra el Username y los caracteres.
Aunque no sea muy grave el exploit, pues no se puede hacer nada en especial clonando el Username de otro usuario o incluso el del admin, ya que no heredas ningún privilegio, no se puede modificar datos del usuario original y no tendrás acceso a sus anteriores MP, en resumen no puedes hacer nada ya que todas las funciones se basan en la UserID y no en el Username, incluso si se clona el nombre del Admin fácilmente se ve, pues por lo general el admin/mods suelen tener el Username en Bold y en Color diferente y el clon no lo tiene, aun todo esto, no deja de ser un fallo de seguridad y aunque no muy grave, pues es poco corriente que un admin reciba información de seguridad por MP, si el foro esta desatendido podría causarle algún problema por postear o solicitar información a otros usuarios haciéndose pasar por el Administrador.
Yo en mi caso he realizado los siguientes cambios, primero en la Base de Datos en la tabla vb_users a la celda "Username" la he marcado como única de esta manera no podrán almacenarse en la misma ningún registro en el que el Username ya exista en esa tabla, esto daría un error SQL al listillo en vez de un aviso de texto propio del vBulletin pero vamos al que lo intente no me importa que le de error en el registro. Por otro lado he modificado la cadena de la Expresión Regular en el registro de nombres de usuario a ^[a-z0-9_ ]+$ con esto solo permito que se puedan usar letras (May/Min), números, espacios y el carácter especial "_".
Un Saludo.
Re: Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1
pero ..
ellos no lo consideran un "riesgo de seguridad"
como aqui lo dicen :
Asi que no podran tener acceso a sus contraseñas, no tendran ningun permiso en especial =/Testing has indicated that it is not possible for the new user to gain the original users password, access credentials, nor have access to any of their permissions, as a result we do not believe this issue to be a security concern.
Re: Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1
El hecho de poder leer los mensajes privados que reciba el usuario administrador original a partir y exclusivamente desde el momento en que el usuario duplicado se registró, ya es un problema de privacidad.
Pero no me sorprende que digan eso, allí radica la genialidad y la calidad del servicio al cliente que vBulletin Solutions ofrece.
Re: Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1
hahaha ..Iniciado por Andrés Durán
El hecho de poder leer los mensajes privados que reciba el usuario administrador original a partir y exclusivamente desde el momento en que el usuario duplicado se registró, ya es un problema de privacidad.
Pero no me sorprende que digan eso, allí radica la genialidad y la calidad del servicio al cliente que vBulletin Solutions ofrece
se , se nota que "admiras" mucho a ese team xD
a mi parecer, deberian cerrar estos bugs.
por lo que es yo, creo que cambiare a otro sistema, porque si esto sigue asi ....
no habra mucha seguridad y "privacidad" en mi foro ...
pero eso es decision de cada uno ...
Re: Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1
En mi foro se registro un usuario duplicado con mi cuenta de admin, ahora no puedo me llegan los mensajes privados y creo que le pasa a otros usuarios del foro, que debo hacer para solucionar esto?
Re: Riesgo de seguridad encontrado en versiones anteriores a vBulletin 3.8.6 PL1
Después de hacer lo que menciona leothefox, te recomiendo aplicar la expresión regular tal y como se indica en el primer mensaje de este tema.
^[a-zA-Z0-9\.@_ ]+$
18Likes
Citar
