Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Ученые обнаружили 30 уязвимостей в механизмах загрузки файлов

05/03/20

uploadКоманда ученых из Корейского института развития науки и технологий и Исследовательского института электроники и телекоммуникаций в Южной Корее с помощью специального инструмента FUSE обнаружила 30 уязвимостей в механизмах загрузки файлов, используемых 23 web-приложениями с открытым исходным кодом, форумами, программами для управления интернет-магазинами и системами управления контентом (CMS). Проблемы затрагивают такие проекты, как WordPress, Concrete5, Composr, SilverStripe, ZenCart и пр.

Эксплуатация данных уязвимостей позволяет злоумышленникам использовать формы загрузки данных и размещать вредоносные файлы на серверах жертвы. Подобные файлы могут использоваться для выполнения кода на web-сайте, ослабления существующих систем безопасности или в качестве бэкдоров, позволяя преступникам получить полный контроль над сервером.

Уязвимости в механизмах загрузки файлов были обнаружены с помощью инструмента автоматического тестирования на проникновение FUSE, разработанного для выявления уязвимостей типа UFU (неограниченная загрузка файлов) и UEFU (неограниченная загрузка исполняемых файлов) в PHP-приложениях.

С помощью серии автоматических запросов исследователи использовали механизмы загрузки файлов в 33 web-приложениях, пытаясь внедрить различные типы вредоносных файлов (PHP, JS, HTML, XHTML, htaccess) в одну из программ. В общей сложности было обнаружено 30 проблем загрузки файлов, затрагивающих 23 из 33 протестированных приложений.

Исследователи сообщили обо всех 30 уязвимостях соответствующим вендорам и 15 из них был присвоен идентификатор CVE. Восемь уязвимостей были исправлены, а исправления для пяти других уязвимостей, включая WordPress, будут предоставлены в скором времени. 15 проблем ожидают подтверждения от соответствующих вендоров, а двое из них и вовсе отказались исправлять обнаруженные уязвимости.

Темы:УгрозыКореяуниверситетские исследования
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...