Manuel Fernández y Daniel Sesé, auditores de ciberseguridad del departamento de hacking ético de Entelgy Innotec Security, han detectado una vulnerabilidad en la API de Yourls, una herramienta muy conocida para acortar enlaces de código abierto. Tras seguir el procedimiento adecuado en estos casos, Mitre le ha asignado un CVE que identifica la vulnerabilidad. Se trata del CVE-2019-14537.
Los auditores hallaron la citada vulnerabilidad cuando, en uno de los test de intrusión que realizaban para un cliente, encontraron que usaban la herramienta YOURLS en uno de sus dominios. En ese momento, decidieron revisar el código publicado en GitHub en busca de alguna vulnerabilidad a través de la cual se pudiera acceder a la organización. Tras comprobar sus métodos de autenticación encontraron una vulnerabilidad en la API, lo cual les permitía realizar acciones en YOURLS como, por ejemplo, ver estadísticas de uso o crear enlaces para iniciar una campaña de phishing.
Desde Entelgy Innotec Security se recomienda a todos aquellos que utilizan esta herramienta que apliquen los cambios que YOURLS ha hecho en este commit: https://github.com/YOURLS/YOURLS/commit/9e36c67b01b932a41f0834d7896c7ba8383e9f07
