Один из членов сообщества Spiceworks обнаружил серьезную уязвимость в приложении, эксплуатация которой позволяет любому, кто использует для входа в программу учетные данные Facebook или LinkedIn, создать учетную запись с правами администратора. Стоит отметить, что приложение Spiceworks используется 6 млн. IT-специалистов для обмена обзорами продуктов и инструкций к ним. Эксплуатируя уязвимость злоумышленник с правами администратора может изменить и удалить пароли.
Впервые о проблеме рассказал пользователь Spiceworks Даррен Смит (Darren K. Smith). Смит сообщил, что уязвимость затрагивает последнюю версию приложения – Spiceworks 7.4.00065, в которой впервые появились кнопки Facebook и LinkedIn. Специалисты протестировали Spiceworks 7.4.00065. После нажатия на кнопку Facebook и ввода логина и пароля, они обнаружили в настройках учетной записи, что Spiceworks, основываясь на данных Facebook, создало новую учетную запись с правами администратора. Разработчики Spiceworks уже работают над устранением уязвимости. Общественный доступ к приложению будет заблокирован до тех пор, пока не будет выпущена обновленная версия. (Spiceworks/NovostIT)
