PHP File Manager был подвержен уязвимостям в течение пяти лет

image

Теги: бэкдор, уязвимость, PHP File Manager

Продукт также содержит позволяющий получить доступ к файловому менеджеру бэкдор.

ИБ-консультант из Нидерландов Сижмен Рувхоф (Sijmen Ruwhof)  обнаружил  множественные опасные уязвимости в используемом многими крупными компаниями (Nestle, Nintendo, Loreal, Siemens, CBS и пр.) web-ориентированном файловом менеджере PHP File Manager. После тщетных попыток связаться с представителями виргинской компании Revived Wire Media, производителем данного продукта, Рувхоф решил опубликовать в открытом доступе информацию об уязвимостях.

Рувхоф заявил, что PHP File Manager был подвержен уязвимостям в течение пяти лет. Эксперт также обнаружил в продукте некачественно построенный бэкдор, который позволяет злоумышленнику получить доступ к файловому менеджеру. 

Загружаемая в любом браузере база данных, на которую наткнулся Рувхоф, также содержит кэш чувствительной информации, включая имена пользователей, хэши паролей, конфигурацию авторизации, а также пути к серверам, на которых пользователь может хранить свои файлы.

«Хранящиеся в базе данных хэши паролей генерируются с помощью устаревшего алгоритма хэширования MD5. Большинство из этих хэшей можно быстро вернуть к их первоначальным паролям с помощью реверсирующих MD5 online-сервисов», - сообщил Рувхоф. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus