В Flickr обнаружили уязвимость, позволяющую удаленное выполнение кода

Как выяснили исследователи безопасности, находящийся в распоряжении компании Yahoo! интернет-сервис Flickr, предназначенный для распространения и публикации фотографий, содержит несколько опасных уязвимостей. Эксперты обнаружили возможность удаленного выполнения произвольного кода, а также SQL-инъекции. Под ударом оказались базы данных и серверы web-ресурса.

Обнаруживший бреши египетский специалист Ибрагим Раафат (Ibrahim Raafat) выявил несколько SQL-инъекций в приложении Flickr Photo Books, которое впервые было представлено администрацией ресурса всего 5 месяцев назад.

По словам исследователя, уязвимыми являются два параметра (page_id и items), которые подвержены воздействию так называемых слепых инъекций. Еще один параметр (order_id) уязвим к прямым SQL-инъекциям. Успешная эксплуатация этих брешей позволяет похитить пароль администратора MySQL, а также получить доступ к базам данных.

Более того, уязвимости в Flickr способствуют выполнению злоумышленником произвольного кода на сервере – при помощи функции load_file(“/etc/passwd“) Раафат раскрыл содержание конфиденциальных файлов, хранящихся на сайте.

При этом исследователь смог разместить на сервере собственные файлы, запускающие программный код. В настоящий момент Yahoo! уже устранила бреши.