Un fallo de seguridad en Twitter permite subir archivos sin el consentimiento del usuario
No solemos referirnos a la red social basada en microblog por problemas de seguridad. Pero en este caso, un fallo de seguridad en Twitter permite que una tercera persona pueda realizar la subida de archivos sin que el propietario de la cuenta utilizada pueda evitarlo.
En este caso, el problema se encuentra en el sistema de validación de los contenidos multimedia que se suben a los servidores de la red social, concrétamente, el sistema que se encarga de verificar que los archivos que se suben se tratan de archivos de imagen y no de otro tipo de archivos o ejecutables. Esto podría realizarse si se accede a un equipo y si se realiza la ejecución de scripts HTML.
Desde la red social han confirmado el fallo de seguridad y lo han catalogado como serio y que buscarán poner una solución lo más pronto posible. Este fallo de seguridad podría provocar que los perfiles de los usuarios pudiesen ser objeto de un deface, lo que supondría un perjuicio claro para la imagen de la red social.
Origen del fallo de seguridad en Twitter
Teniendo en cuenta la importancia que posee todo lo relacionado con estos servicios y a pesar de todo puedan encontrarse errores tan importantes como estos.
Todo parece indicar que parte del fallo de seguridad se pueda encontrar en los servidores de Twitter, ya que un CDN normal no debería permitir la ejecución de código PHP, pero en este caso, si el atacante logra subir un fichero PHPeste podría ser ejecutado sin ningún tipo de restricción.
Para ver en qué consiste el fallo de seguridad con más detalle, os dejamos con una demostración del mismo.
Fuente | The Hacker News