Facebook 紧急修复暴露页面管理员账户的 bug

Eduard Kovacs 代码卫士 2022-04-06

聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

上周，Facebook 紧急修复可导致管理页面人员账户遭暴露的一个 bug。该bug 已被用于攻击多个高级别页面。

如果 Facebook 页面的管理员编辑一篇帖子，用户就能通过“查看编辑历史”功能来追踪所做修改。虽然该功能应该告诉用户帖子被修改的确切时间，但该bug可披露做出修改的个人账户（资料）信息。

控制 Facebook 页面的账户默认是隐藏状态，且它们不应该显示在“编辑历史”窗口。该问题可能会带来严重影响，尤其是对于试图保护自己身份安全的页面管理员而言更是如此。

Wired媒体报道称，该漏洞出现在上周四晚上，一直持续到上周五早上。Facebook表示通过一名研究员获知该信息但并未透露该研究员信息。

尽管该bug 仅存在不到1天的时间，但4chan 等网站上已有人讨论称它被滥用于高级别网页。这些目标网页包括属于美国总统唐纳德·特朗普、加拿大总理贾斯廷·特鲁多、活动家Greta Thunberg、匿名街头艺术家Banksy、“匿名者”黑客主义者和嘻哈歌手Snoop Dogg。

这并非首个 Facebook 页面管理员账户遭暴露的漏洞案例。大概两年前，一名研究人员发现很像Facebook 页面的一封邮件申请在邮件源代码中包含了该页面管理员的姓名信息。

来呀，一起玩耍呀~

推荐阅读

Facebook 近7000页机密文件遭公开，更多炮火将至？

原文链接

https://www.securityweek.com/facebook-rushes-patch-bug-exposing-page-admins

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

点个“在看”，bounty 多多~