Vulnerabilidades K2

Contacto

Viernes, 09 Agosto 2019 10:31

Nuestro departamento de hacking ético descubre una vulnerabilidad en la API de Yourls

La vulnerabilidad, descubierta por Manuel Fernández y Daniel Sesé, auditores de seguridad de la compañía, afecta a esta herramienta de acortamiento de enlaces de código abierto y ya se le ha asignado un CVE.

Manuel Fernández y Daniel Sesé, auditores de ciberseguridad del departamento de hacking ético de Entelgy Innotec Security, han detectado una vulnerabilidad en la API de Yourls, una herramienta muy conocida para acortar enlaces de código abierto. Tras seguir el procedimiento adecuado en estos casos, Mitre le ha asignado un CVE que identifica la vulnerabilidad. Se trata del CVE-2019-14537.

Los auditores hallaron la citada vulnerabilidad cuando, en uno de los test de intrusión que realizaban para un cliente, encontraron que usaban la herramienta YOURLS en uno de sus dominios. En ese momento, decidieron revisar el código publicado en GitHub en busca de alguna vulnerabilidad a través de la cual se pudiera acceder a la organización. Tras comprobar sus métodos de autenticación encontraron una vulnerabilidad en la API, lo cual les permitía realizar acciones en YOURLS como, por ejemplo, ver estadísticas de uso o crear enlaces para iniciar una campaña de phishing.

Desde Entelgy Innotec Security se recomienda a todos aquellos que utilizan esta herramienta que apliquen los cambios que YOURLS ha hecho en este commit: https://github.com/YOURLS/YOURLS/commit/9e36c67b01b932a41f0834d7896c7ba8383e9f07

¡Infórmate detalladamente en nuestro blog Security Garage!

Comparte

S5 Box