Flickr يتعرض لثغرة SQL Injection مع RCE


موقع Flickr التابع لشركة Yahoo واحد من اكبر مواقع ادارة الصور و نشرها تعرض مؤخرا لثغرة عالية الخطورة مما ادى بسرفر الموقع و قاعدة بياناته عرضة للهاكرز

هذا ما كشف عنه الباحث الامني المصري Ibrahim Raafat عند اختباره لخدمة جديدة اطلقتها الشركة تسمى Flickr Photo Books, فالثغرة التي وجدها الباحث الامني كانت من نوع SQL Injection vulnerability التي خولت له الاطلاع على قواعد بيانات السرفر.

فبعد حقن البارامتر المصاب باوامر SQL تمكن هذا الباحث من استخراج جميع قواعد البيانات بل و حتى كذلك استخراج باس الجذر (root) الخاص ب ادارة قواعد البيانت MYSQL 


بل و كذلك فثغرة SQL Injection مكنت المهاجم من من استدعاء ملفات داخلية في السرفر و الاطلاع على محتواها من خلال دالة "load_file" مما مكنه من رؤية ملف etc/passwd كما يتضح في الصورة:
زيادة على ذلك فبعد ان اتضح للمهاجم مساره على السرفر path تمكن من استغلال الثغرة على شكل Remote Code execution
(RCE) التي خولت له رفع ملفات تحتوي على اكواد برمجية على بالسرفر.

 الباحث قام بالتبليغ عن الثغرة للفريق الامني لشركة ياهو و اكدت الاخيرة على ان الثغرة تم ترقيعها

تحديث : قامث شزكة ياهو بمكافئة الباحث الامني  Ibrahim Raafat بمبلغ 15،000$ و الذي يعد اكبر مبلغ تدفعه الشركة في اطار برنامج ال bug bounty .

 

بقلم

محمد لحلو

المدير التقني لمدونة مجتمع الأمن المعلوماتي مدون ومغرد حول مجال الأمن المعلوماتي والحماية الإلكترونية ! مهتم بكل جديد حول المجال الأمني بصفة خاصة والتقني بصفة عامة من مواليد مدينة فاس المغرب .

2016 © جميع الحقوق محفوظة
تطوير : عدنان المجدوبي