VBulletin lukker for SQL-indsætning

Artiklen blev oprindeligt publiceret den 29/7/2014

Udviklerne af vBulletin har lukket et sikkerhedshul, der lod angribere indsætte SQL-kommandoer. Et andet hul er også lukket.

Følgende versioner af vBulletin er sårbare: 5.0.4, 5.0.5, 5.1.0, 5.1.1 og 5.1.2. Sikkerhedshullet er lukket med patches til de respektive versioner.

Rettelsen er også inkluderet i alpha-versionen af vBulletin 5.1.3.

Sikkerhedsfirmaet Sucuri skriver, at hvis man ikke kan installere sikkerhedsrettelsen, kan man i stedet blokere adgangen til siden Memberlist.

Rettelserne blev udsendt den 16. juli.

En uge senere udsendte vBulletin rettelser til vBulletin 5 Connect 5.0.0, 5.0.1, 5.0.2, 5.0.3, 5.0.4, 5.0.5, 5.1.0, 5.1.1 og 5.1.2. De lukker et sikkerhedshul, som åbner for cross-site request forgery (CSRF).

Anbefaling
Installer sikkerhedsrettelserne til vBulletin.

Links

• Security Patch Release for vBulletin 5.0.4, 5.0.5, 5.1.0, 5.1.1, and 5.1.2
• Security Patch Release for vBulletin 5 Connect, Versions 5.0.0 through 5.1.2
• SQL Injection Vulnerability – vBulletin 5.x, blogindlæg fra Sucuri