Злоумышленники могли распространять вредоносное ПО через сайт FCC.gov
Уязвимость на сайте Федеральной комиссии по связи позволяла злоумышленниками загружать вредоносное ПО на сервер.
20-летниий студент из США случайно обнаружил уязвимость на сайте Федеральной комиссии по связи (FCC). Ошибка позволяла любому пользователю прикрепить файл с произвольным расширением и опубликовать ссылку на него в качестве публичного комментария на сайте ведомства.
По словам исследователя, уязвимость позволяла загружать произвольные файлы на сервер FCC размером до 25 МБ. Таким образом, злоумышленники легко могли распростронять вредоносное ПО через официальный сайт Федеральной комиссии по связи США. Уязвимость, как предполагается, присутствовала около 5 месяцев.
Проблема заключалась в отсутствии проверки типов загружаемых файлов в публичном API. Доступ к API предоставлялся с помощью ключа, отправляемого по запросу пользователя на его электронную почту.
В настоящее время FCC проводит расследование инцидента.
Ваша приватность умирает красиво, но мы можем спасти её.