Hoy sorpresivamente todos los administradores de vbulletin que presenten atención a las news en su panel, habrán visto que se lanzó una actualización de la serie 3.6.x que no estaba planificada.

Ya habiamos leido que la 3.6.9 iba a ser la ultima actualización de dicha serie, con el arreglo de mas de 150 bugs la empresa Jelsoft se abocaba plenamente a desarrollar su flamante 3.7. Pero un problema mayor de seguridad en la línea 3.6.x obligó al equipo de programadores a lanzar una nueva versión para paliar esto.

La vulnerabilidad es del tipo CSRF (cross-site request forgery, Falsificación de Petición desde Otro Sitio), que potencialmente permitia al administrador estar enviando información de su propio foro sin saberlo a otros sitios.

La reparación de este agujero compromete muchos archivos y muchos templates, asi que lamentablemente no se pudo hacer un mero parche, sino que hubo que sacar a la luz toda una nueva versión.

Se recomienda que los clientes que corran la serie 3.6.x, actualicen rápidamente a 3.6.10.

Mas info, instrucciones y download: vbulletin.com

----

Paralelamente para quién esté interesado, también se anunció la salida de la 3.7 RC4. Lamentablemente se retrasó la salida de la versión Gold prometida para esta semana, debido a que las reformas de seguridad también afectaban a la nueva serie.

Thread original con los detalles http://www.vbulletin.com/forum/showthread.php?p=1545682