Обнаружена серьезная уязвимость в приложении Spiceworks

image

Теги: уязвимость, Spiceworks, учетные данные

Разработчики Spiceworks уже работают над устранением бреши.

Один из членов сообщества Spiceworks  обнаружил  серьезную уязвимость в приложении, эксплуатация которой позволяет любому, кто использует для входа в программу учетные данные Facebook или LinkedIn, создать учетную запись с правами администратора.

Стоит отметить, что приложение Spiceworks используется 6 миллионами IT-специалистов для обмена обзорами продуктов и инструкций к ним. Эксплуатируя уязвимость злоумышленник с правами администратора может изменить и удалить пароли.

Впервые о проблеме рассказал пользователь Spiceworks Даррен Смит (Darren K. Smith). Смит сообщил, что уязвимость затрагивает последнюю версию приложения - Spiceworks 7.4.00065, в которой впервые появились кнопки Facebook и LinkedIn.

Специалисты протестировали Spiceworks 7.4.00065. После нажатия на кнопку Facebook и ввода логина и пароля, они обнаружили в настройках учетной записи, что Spiceworks, основываясь на данных Facebook, создало новую учетную запись с правами администратора.

Разработчики Spiceworks уже работают над устранением уязвимости. Общественный доступ к приложению будет заблокирован до тех пор, пока не будет выпущена обновленная версия.

 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.