Hola a todos.

Esta nota es para informar a todos los usuarios hispanos de vBSEO acerca de un aparente riesgo de seguridad encontrado en cualquier versión anterior a vBulletin 3.8.6 PL1. El detalle del exploit se encuentra aquí:

vBulletin 3.8.4 & 3.8.5 Registration Bypass Vulnerability

Funciona de la siguiente manera:

1. Ve a la dirección:

Code:
http://www.página.com/foro/register.php
2. Supongamos que en el foro hay un usuario con privilegios administrativos que usa el nombre de usuario ADMIN

3. Regístrate con el nombre de usuario ADMIN&#00

4. Completa todo el proceso del registro

5. Ahora verás el nombre de usuario que acabas de registrar igual al de ADMIN

El exploit radica en que podrás leer los mensajes privados que reciba el usuario ADMIN.


La solución (temporal):

La solución es temporal, mientras vBulletin Solutions hace oficial el exploit. Se debe evitar que los usuarios utilicen los caracteres & y # en el registro. Para ello, colocar la siguiente expresión regular en:

AdminCP -> Opciones de vBulletin -> Opciones de Registro de Usuarios -> Expresión Regular de Nombre de Usuario

Code:
^[a-zA-Z0-9\.@_ ]+$
Con eso, los usuarios solo podrán utilizar cualquier caracter alfanumérico, los símbolos @ y _, y el espacio para su nombre de usuario.

Fuentes:

Serious security flaws found in vBulletin 4.0.x branch - Axivo Forums

Potential security issue in all vB versions

Discusión en vBulletin.com:

vBulletin Community Forum

Saludos cordiales.