Si hace poco hacíamos crítica de la tardanza que los responsables del servicio habían mostrado en la eliminación de un fallo de seguridad que permitía el acceso a información sensible contenida en los perfiles de los usuarios, esta vez el fallo detectado en Flickr permite la inyección de código SQL en la base de datos.
El fallo de seguridad detectado permitía hacer peticiones de información sin ningún tipo de restricción, obteniendo en apenas unos segundos la información solicitada en el código. Además de este problema, esto provoca que se produzcan otro tipo de vulnerabilidades, ya que el atacante podría realizar en cualquier momento realizar la ejecución remota de código.
En la anterior ocasión, el fallo permitía acceder a las direcciones de correo que a priori se encontraban ocultas. En esta ocasión el atacante no solo podría tener esta información o cualquier otra que se encuentre vinculada al perfil de un determinado usuario, sino que podría incluso obtener fotos que son privadas en los perfiles de los usuarios.
El investigador que ha descubierto el fallo de seguridad ha constatado también que el fallo de seguridad permite no solo la lectura de la base de datos, sino que también se puede realizar la creación de nuevos archivos o la escritura en otros ya existentes, tal y como se puede ver en el vídeo que os dejamos a continuación:
En Yahoo! se han dado prisa para resolver el problema
A diferencia del fallo anterior, para el cual invirtieron 2 meses en poner solución, en esta ocasión únicamente ha transcurrido un fin de semana entre la confirmación del fallo y su solución. A pesar de todo, y tal y como ya comentamos anteriormente, la sombra de una venta o de un cierre aún sigue planeado sobre Flickr.
En definitiva, el fallo de seguridad ha sido resuelto, por lo tanto ya no es posible realizar ningún tipo de inyección de código en la base de datos del servicio.