Las vulnerabilidades de divulgación en una aplicación web de las Naciones Unidas dejan abiertas las CV de acceso público de los solicitantes de empleo y la organización no pudo tapar la fuga a pesar de recibir un informe privado sobre los problemas.
El investigador de seguridad Mohamed Baset de la compañia de pruebas de penetración Seekurity encontró una divulgación de ruta y un error de divulgación de información en uno de los sitios web de WordPress de la ONU, que brinda acceso sin restricciones a solicitudes de empleo desde 2016. Afirma que se han cargado miles de documentos.
Baset notó que los solicitantes de empleo que buscan un puesto en la ONU pueden enviar sus hojas de vida a través de una aplicación web configurada incorrectamente. El investigador descubrió que este descuido dejaba abierto el acceso a un indice de directorio de lo que parecen ser documentos de personas que buscan un trabajo.
Aunque solucionar el problema es simple, Baset dice que no recibió la respuesta esperada después de informar sobre el problema.
Un mes después de enviar su informe inicial el 6 de agosto, dos mensajes pidiendo el estado de su divulgación y otro correo electrónico anunciando la divulgación pública completa, Baset dice que recibió una respuesta.
Según el investigador, "alguien de UN @ Security" dijo que la vulnerabilidad "no pertenecia a la Secretaria de las Naciones Unidas y corresponde al PNUD [ Programa de las Naciones Unidas para el Desarrollo ]". Esto fue el 5 de septiembre.
48 dias después de hacer una divulgación responsable a infosec@un.org, Baset decidió revelar los detalles al público.
"Las vulnerabilidades descubiertas se han informado de manera responsable a las Naciones Unidas junto con otros problemas descubiertos (no mencionados aqui), incluidos los detalles técnicos sobre cómo reproducir los problemas", anunció el investigador.
La recomendación de Baset a los propietarios de sitios web de WordPress es que mantengan su instalación actualizada, asi como de cualquier complemento; deben bloquear cualquier archivo confidencial de la vista pública y restringir el acceso a todas las carpetas en /wp-content/*.
Fecha actualización el 2021-09-25. Fecha publicación el 2018-09-25. Categoría: wordpress 69 Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer