Especialistas en seguridad de la información reportan el hallazgo de múltiples vulnerabilidades en vBulletin, un popular software para la creación de foros en sitios web. Acorde al reporte, la explotación exitosa de estas vulnerabilidades conduciría al despliegue de ataques de scripts entre sitios (XSS).
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS).
CVE-2020-25124: Los actores de amenazas remotos pueden realizar ataques de scripts entre sitios (XSS) a través de un URI (admincp/attachment.php&do-rebuild&type). Esta falla existe debido a la desinfección insuficiente de los datos suministrados por el usuario, por lo que los atacantes podrían engañar a la víctima para seguir un enlace especialmente diseñado y ejecutar código HTML arbitrario en el navegador.
Esta falla recibió un puntaje de 3.4/10.
CVE-2020-25122: La inadecuada depuración de los datos suministrados por el usuario permitiría a los hackers maliciosos engañar a los usuarios para que sigan un enlace especialmente diseñado y ejecutar código HTML arbitrario en el contexto de un sitio web vulnerable. Esta vulnerabilidad recibió un puntaje de 3.4/10.
CVE-2020-25123: La insuficiente desinfección de los datos suministrados por el usuario a la aplicación vulnerable permite a los atacantes remotos engañar a las víctimas para que sigan un enlace especialmente diseñado y ejecutar código HTML arbitrario en el contexto de un sitio web vulnerable.
La vulnerabilidad recibió un puntaje de 3.4/10.
CVE-2020-25120: Esta falla existe debido a la desinfección insuficiente de los datos suministrados por el usuario a la aplicación objetivo. Un actor de amenazas remoto podría engañar a los usuarios para que sigan un enlace especialmente diseñado y ejecutar código HTML arbitrario en el contexto de un sitio web vulnerable.
Esta vulnerabilidad recibió un puntaje de 3.4/10, mencionan los especialistas en seguridad de la información.
CVE-2020-25119: La inadecuada desinfección de los datos suministrados por el usuario permitiría a los actores de amenazas ejecutar HTML arbitrario, engañando a las víctimas para que se dirijan a un enlace especialmente diseñado, desplegando un ataque XSS. La vulnerabilidad recibió un puntaje de 3.4/10.
CVE-2020-25118: La desinfección insuficiente de los datos suministrados por el usuario permitiría a los hackers maliciosos ejecutar HTML arbitrario en el contexto del software afectado, desencadenando un ataque XSS. Un ataque exitoso permitiría el robo de información, modificación de un sitio web con vBulletin, entre otras actividades maliciosas. La falla recibió un puntaje de 3.4/10.
CVE-2020-25115: La inadecuada desinfección de los datos suministrados por el usuario permitiría a los actores de amenazas ejecutar HTML arbitrario, engañando a las víctimas para que se dirijan a un enlace especialmente diseñado, desplegando un ataque XSS. La vulnerabilidad recibió un puntaje de 3.4/10.
CVE-2020-25116: Una insuficiente depuración de los datos suministrados por el usuario permitiría a los actores de amenazas engañar a la víctima para seguir un enlace especialmente diseñado y poder ejecutar código HTML y scripts arbitrarios en el contexto de un sitio web vulnerable.
Acorde a los especialistas en seguridad de la información, esta vulnerabilidad recibió un puntaje de 3.4/10.
CVE-2020-25117: La inadecuada depuración de los datos suministrados por el usuario permite a los actores de amenazas remotos engañar a las víctimas para seguir enlaces especialmente diseñados y ejecutar scripts arbitrarios en el contexto de un sitio web vulnerable. La vulnerabilidad recibió un puntaje de 3.4/10.
CVE-2020-25121: La vulnerabilidad existe debido a la desinfección insuficiente de los datos suministrados por el usuario. Un atacante remoto puede engañar a la víctima para seguir un enlace especialmente diseñado y ejecutar código HTML y script arbitrario en el navegador del usuario en el contexto de sitio web vulnerable. La falla recibió un puntaje de 3.4/10.
Todas las vulnerabilidades reportadas residen en la versión 5.6.3 de vBulletin, mencionan los especialistas. Aunque las fallas no son especialmente graves, es necesario mencionar que no hay parches disponibles, por lo que los administradores de sitios web vulnerables deben permanecer alertas ante el lanzamiento de cualquier actualización.