У Flickr виявили уразливість, яка дозволяє віддалене виконання коду

admin Новини ІТ-безпеки

У Flickr виявили уразливість, яка дозволяє віддалене виконання кодуЯк з'ясували дослідники безпеки, інтернет-сервіс Flickr, призначений для розповсюдження та публікації фотографій, містить кілька небезпечних вразливостей. Експерти виявили можливість віддаленого виконання довільного коду, а також SQL-ін'єкції. Під ударом опинилися бази даних і сервери web-ресурсу.

Виявивший вразливість єгипетський фахівець Ібрагім Раафат (  Ibrahim Raafat) знайшов кілька SQL-ін'єкцій в додатку Flickr Photo Books, який вперше було представлено адміністрацією ресурсу всього 5 місяців тому.

За словами дослідника, вразливими є два параметра ( page_id і items), що піддані впливу так званих сліпих ін'єкцій. Ще один параметр ( order_id) вразливий до прямих SQL-ін'єкцій. Успішна експлуатація цих вразливостей дозволяє викрасти пароль адміністратора MySQL, а також отримати доступ до баз даних.

Більш того, уразливості в Flickr сприяють виконанню зловмисником довільного коду на сервері - за допомогою функції load_file ("/etc/passwd") Раафат розкрив зміст конфіденційних файлів, що зберігаються на сайті.

При цьому дослідник зміг розмістити на сервері власні файли, що запускають програмний код. На даний момент Yahoo! вже усунула вразливості.