Уязвимость в «ВКонтакте» позволяла любому желающему публиковать видео в сообществах

image

Теги: ВКонтакте, уязвимость

Публиковать видео в сообществе в обход администраторов можно было через функцию «Предложить новость».

Уязвимость в соцсети «ВКонтакте» позволяла любому желающему публиковать в сообществах видеоролики в обход премодерации.

Проблема была обнаружена одним из читателей сетевого издания TJ, пожелавшим сохранить анонимность. По его словам, он является администратором сообщества в соцсети с более чем 135 тыс. подписчиков. Неожиданно он обнаружил на стене сообщества два коротких видео, опубликованных кем-то без прав администратора. Как оказалось, обойти премодерацию можно было через функцию «Предложить новость».

Читатель воспроизвел уязвимость в тестовом сообществе. Сначала он загрузил видео на свою страницу, а затем опубликовал его в сообществе через функцию «Предложить новость». При этом доступ к настройкам или наличие прав редактора не требовалось. Уязвимость также сработала во время тестов в других сообществах.

Администратор уведомил о своем открытии команде поддержки «ВКонтакте» и получил обещание «посмотреть и что-то придумать». Как сообщили сотрудникам TJ в пресс-службе соцсети, уязвимость была исправлена, а обнаруживший ее пользователь получит денежное вознаграждение.

«Как понимаю, проблема была в том, что в “ВКонтакте” не до конца предусмотрели настройки приватности при заливке видео (достаточно было без сохранения закрыть вкладку со страницей с новым видео). После этого дело оставалось за малым: выбираем сообщество, предлагаем видео через форму “Предложить новость”, возвращаемся к нашему видео и пытаемся его опубликовать с выбранной галочкой “Опубликовать на моей странице”. Остался вопрос: почему вместо функции “Опубликовать на моей странице” срабатывала автоматическая публикация в чужом сообществе? При этом в профиле видео оставалось неопубликованным», - сообщил пользователь.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.