Дом разработка программного обеспечения получил больше, чем ожидал после оповещение по электронной почте от HaveIBeenPwned (HIBP) сайт мониторинга утечки данных стер все свои службы поддержки авиабилеты.

Рекреационного транспортного средства разработчика QB8 ООО был подписан на бесплатную HIBP сообщений на наличие взломанных аккаунтов на Файр.домен Ио.

Когда прибыло сообщение от HIBP в адрес QB8 службу после недавней утечки данных, он автоматически превратился в авиабилет в технической поддержке компании, с открытым исходным кодом
Gestionnaire Libre де парк информатике (GLPI) версии 9.4.5.

В QB8 техники читать отчет HIBP, проверил данные и предупредили пользователей на нарушения.

После этого авиабилет был приписан к одному конкретному специалисту, и помечен как решена.

Назначая билет для конкретного члена команды, система GLPI разобрал “;–” символов в заголовке HIBP электронной почты, и трактовать его в качестве структурированной базы данных команды языка запросов удаленных данных в системе поддержки.

“Я и другой техники быстро заметил, что каждое описание авиабилет был удален и заменен с частичным данные заголовка из HIBP электронной почте,” в одну QB8 сотрудник писал.

На SQL-инъекции (SQLi) уязвимость исправлена в версии GLPI 9.4.6 , как он был обнаружен до HIBP электронной почты инцидента.

Как ошибка очень удобно использовать в злонамеренных целях, с SQLi код, скрываемая в HTML помеченного письма, QB8 предупредили, что это может иметь серьезные последствия и призвал GLPI пользователям обновить до последней версии в службу поддержки системы, или искать альтернативные программы.

SQLi

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here