El Internet a través del comercio electrónico a abierto un sinnúmero de oportunidades, las Compañías de Seguro en constante crecimiento actualmente se esfuerzan por ofrecer una compra segura por Internet, mientras un gran numero de nuevos empresarios de Internet buscan consolidar sus empresas en la red.

Recientemente gracias a un comunicado enviado por Andres Duran del equipo de soporte de VBHispano para VBulletin nos hemos informado acerca de un aparente riesgo de seguridad encontrado en cualquier versión anterior a VBulletin 3.8.6 PL1.
Según detalla Andres El detalle del exploit se encuentra en el siguiente link vBulletin 3.8.4 & 3.8.5 Registration Bypass Vulnerability
1. Ve a la dirección:
Código:
http://www.página.com/foro/register.php
2. Supongamos que en el foro hay un usuario con privilegios administrativos que usa el nombre de usuario ADMIN
3. Regístrate con el nombre de usuario ADMIN�
4. Completa todo el proceso del registro
5. Ahora verás el nombre de usuario que acabas de registrar igual al de ADMIN
El exploit radica en que podrás leer los mensajes privados que reciba el usuario ADMIN.
La solución es temporal, mientras vBulletin Solutions hace oficial el exploit. Se debe evitar que los usuarios utilicen los caracteres & y # en el registro. Para ello, colocar la siguiente expresión regular en:
AdminCP -> Opciones de vBulletin -> Opciones de Registro de Usuarios -> Expresión Regular de Nombre de Usuario
Código:
^[a-zA-Z0-9\.@_ ]+$
Con eso, los usuarios solo podrán utilizar cualquier caracter alfanumérico, los símbolos @ y _, y el espacio para su nombre de usuario.
VBulletin Hispano, a decidido dada la gravedad del asunto enviar un comunicado a todos sus usuarios y también a aquellos que han declinado recibir correos de parte de VBHispano.
Fuentes:
Serious security flaws found in vBulletin 4.0.x branch – Axivo Forums
Discusión en vBulletin.com: