渗透测试公司Seekurity的安全研究员Mohamed ba set在联合国的一个WordPress网站上发现了路径泄露和信息泄露漏洞,导致任何人都可以公开访问2016年以来的求职者简历,他指出已经泄露了数千份文件。
ba set注意到,寻求联合国职位的求职者可以通过配置不当的网络应用程序发送简历,研究人员发现,这种疏忽打开了对目录索引的访问权限,该目录索引似乎是求职者简历的个人文档。
虽然解决这个问题很简单,但巴斯特说他在报告问题后没有得到答复。
推卸责任
ba set在8月6日发送了两封漏洞详情和一封宣布完全公开漏洞的邮件后的一个月得到了答复。
9月5日,根据“来自UN@Security的研究人员”的说法,这个漏洞并不属于“联合国秘书处,而是属于开发计划署[ 联合国开发计划署 ]。”
9月25日,在对infosec@un.org进行负责披露后的48天,ba set决定向公众发布详细信息。
“已发现的漏洞已被负责任地报告给联合国以及其他已发现的漏洞(此处未提及),包括有关如何复现漏洞的技术细节,”研究人员宣布。
ba set对WordPress网站拥有者的建议是保把网站以及相关插件更新至最新版本, 禁止公网访问任何敏感文件,并限制对/ wp-content / *下所有文件夹的访问。
ba set还发布了一段视频,解释了他如何发现并保存敏感数据的目录的路径:
◆参考来源:https://www.bleepingcomputer.com/news/security/united-nations-wordpress-site-exposes-thousands-of-resumes/
◆本文版权归原作者所有,如有侵权请联系我们及时删除