Viernes, 09 August 2019 09:50

Nuestro departamento de hacking ético descubre una vulnerabilidad en la API de Yourls

La vulnerabilidad, descubierta por Manuel Fernández y Daniel Sesé, auditores de seguridad de la compañía, afecta a esta herramienta de acortamiento de enlaces de código abierto y ya se le ha asignado un CVE.

Manuel Fernández y Daniel Sesé, auditores de ciberseguridad del departamento de hacking ético de Entelgy Innotec Security, han detectado una vulnerabilidad en la API de Yourls, una herramienta muy conocida para acortar enlaces de código abierto. Tras seguir el procedimiento adecuado en estos casos, Mitre le ha asignado un CVE que identifica la vulnerabilidad. Se trata del CVE-2019-14537.

Los auditores hallaron la citada vulnerabilidad cuando, en uno de los test de intrusión que realizaban para un cliente, encontraron que usaban la herramienta YOURLS en uno de sus dominios. En ese momento, decidieron revisar el código publicado en GitHub en busca de alguna vulnerabilidad a través de la cual se pudiera acceder a la organización. Tras comprobar sus métodos de autenticación encontraron una vulnerabilidad en la API, lo cual les permitía realizar acciones en YOURLS como, por ejemplo, ver estadísticas de uso o crear enlaces para iniciar una campaña de phishing.

Desde Entelgy Innotec Security se recomienda a todos aquellos que utilizan esta herramienta que apliquen los cambios que YOURLS ha hecho en este commit: https://github.com/YOURLS/YOURLS/commit/9e36c67b01b932a41f0834d7896c7ba8383e9f07

¡Infórmate detalladamente en nuestro blog Security Garage!

Visto 184 veces

Avda. Llano Castellano, 43
28034 Madrid
+34 917 281 504
innotec.security


InnoTec

Sobre nosotros

InnoTec nace en 2002 como empresa especializada en ciberseguridad, inteligencia, prevención y gestión de riesgos. Actualmente contamos con una plantilla de más de 350 profesionales altamente cualificados en España, y estamos presentes en los principales mercados de Latinoamérica y Estados Unidos.

Ampliar información
Presentación corporativa

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información consultando nuestra Política de Cookies.