其他
联合国 WordPress站点被曝路径和信息泄漏漏洞,数千份简历遭公开访问
翻译:360代码卫士团队
渗透测试公司 Seekurity 的研究员 Mohamed Baset 从联合国的一个 WordPress 网站上发现路径泄露和信息泄露漏洞,导致任何人均可访问2016年以来职位申请人的简历。他指出数千份文档受影响。联合国实际上曾收到一份私密报告,但仍未修复该漏洞。
Baset 注意到,联合国职位申请人可通过一款配置不当的 web 应用程序发送简历,从而导致任何人均可访问存储着求职者的目录索引。
虽然修复该问题比较容易,但 Baset 表示发出报告后并未收到回复。
责任甩锅
Baset 在8月6日发出要求说明泄漏状态和宣布公开该漏洞报告后的一个月后,收到了回复。他指出,“某个来自 UN@Security 的人”表示漏洞并不“归联合国秘书处处理,而是由联合国开发计划署处理”,这份信函发自9月5日。
向infosec@un.org 负责任地发出以上提及和未提及问题及解决问题后的第48天,Baset 决定公开漏洞详情。
Baset 建议 WordPress 网站所有人将网站及插件更新至最新版本,而且将敏感文件设置为不被公众访问,以及在 /wp-cont/* 下限制对所有文件夹的访问权限。
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/united-nations-wordpress-site-exposes-thousands-of-resumes/
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。