De nuevo se ha roto la seguridad de la red social Twitter.
El experto en seguridad Ebrahim Hegazy ha encontrado una vulnerabilidad de carácter grave en Twitter que permitiría cargar a un atacante archivos con cualquier extensión.
Esto sucede cuando una aplicación no valida, o lo hace de forma incorrecta, los tipos de archivos antes de subirlos al sistema, lo que permitiría a un atacante subir código arbitrario en el sistema de destino que podría permitir la ejecución de código malicioso y comprometer el sistema.
Esto sucede cuando una aplicación no valida, o lo hace de forma incorrecta, los tipos de archivos antes de subirlos al sistema, lo que permitiría a un atacante subir código arbitrario en el sistema de destino que podría permitir la ejecución de código malicioso y comprometer el sistema.
Cuando un desarrollador crea una aplicación para Twitter, tiene la opción de subir una imagen para dicha aplicación (aunque en principio solo son válidos archivos .JPG o .PNG) lo que podría terminar en una subida exitosa de otro tipo de archivos como se muestra en los siguientes vídeos.
Esta vulnerabilidad podría ser utilizada para crear una botnet, para alojar archivos de carácter malicioso o para hacer un defacement en el dominio twimg.com lo que perjudicaría la imagen de Twitter.
Twitter ha reconocido la grave vulnerabilidad y ha añadido a Ebrahim Hegazy a su "hall of fame" aunque no tiene un programa de recompensas como otras redes sociales.
akil3s (@1GbdeInfo)
Noticia de thehackernews
