SKY-net

Сайт компании VMware содержит уязвимость, которая позволяет злоумышленникам получить личные данные подписчиков компании.

В Full-Disclosure появилась информация о том, что функционал редактирования подписки на почтовые уведомления на сайте VMWare содержит уязвимость, которая позволяет злоумышленникам получить доступ к личным данным подписчиков. Уязвимость существует из-за того, что приложение не производит достаточную аутентификацию (CWE-287) при проверке подлинности подписчика. Для того, чтобы получить доступ к личным данным подписчиков, необходимо знать лишь их email адреса.

Получение доступа к личным данным пользователя осуществляется через форму на странице:

info.vmware.com/content/opt-out?elq=[UNIQUE ID]

где UNIQUE ID – должен был быть секретный идентификатор подписки. Но это значение нигде не проверяется.

Злоумышленники могут заполучить доступ к следующей информации: имя и фамилия подписчика, название компании, страна, рабочий email, номер телефона, адрес.

Если вы являетесь подписчиком компании VMware и указали реальные данные о себе, SecurityLab рекомендует их изменить в кратчайшие сроки.

www.securitylab.ru

Опубликовано 05.04.2011 17:27 и размещено в рубрике Безопасность. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• Вышли VMware Player 2 и VMware Fusion for Mac
• VMware представила гипервизор следующего поколения
• VMware устранила 20 уязвимостей в своих продуктах
• Novell расширила поддержку VMware
• VMware открыла исходные коды VMware Tools