Tuesday, 7 April 2015

La programación de mensajes de Facebook afectada por inyección de código SQL

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/la-programacion-de-mensajes-de-facebook-afectada-por-inyeccion-de-codigo-sql/
TAGS: facebook, SQL injection

La gran cantidad de funciones disponibles en la madre de las redes sociales provoca que esta sea una de las más completas. Sin embargo, disponer de tantas provoca que la probabilidad de que una posea un problema de seguridad sea mayor, y eso parece ser que es lo que ha sucedido con la "Programación de publicaciones" de la red social Facebook.
Aunque los datos que se están manejando han sido ofrecidos por expertos en seguridad y no por la propia red social, todo parece indicar que el módulo phpSFP estaría afectado por una vulnerabilidad que permitiría la inyección de código SQL. Este problema daría acceso a una tercera persona a robar las credenciales de las cuentas de los usuarios o incluso del administrador si hablamos de una página.




[caption id="attachment_2599" align="alignnone" width="652"]La programación de mensajes de Facebook afectada por inyección de código SQL La programación de mensajes de Facebook afectada por inyección de código SQL[/caption]

Este módulo en realidad se trata de un script que puede añadirse a los sitios web para administrar el contenido que se ha publicado en una cuenta o página de Facebook, permitiendo enviar mensajes, anuncios, eventos, noticias o cualquier otro tipo de contenido. Tal y como sucede en software similares, ofrece al usuario la posibilidad de disfrutar de una vista previa antes de que se envíe a la red social.


Según el investigador encargado de descubrir el problema, Pichaya Morimoto, el error está presente en la versión 1.5.6 de este módulo y en las anteriores, por lo tanto, de nada sirve realizar un downgrade de la versión.


La utilidad preferida para muchos spammers de Facebook


Aunque sea una herramienta dirigida a sitios web, se trata de un secreto a voces de que este módulo o script es muy utilizado por los ciberdelincuentes para llenar los tablones de los usuarios de mensajes spam.


Por el momento ni los responsables de Facebook ni los del script se han pronunciado y es probable que aún haya que esperar varios días para lograr obtener cierta información al respecto y saber cuándo estará disponible una actualización..


Fuente:http://www.redeszone.net/



La programación de mensajes de Facebook afectada por inyección de código SQL
Noticias de seguridad informática

No comments:

Post a Comment