WePlay es un local comercial de video juegos y consolas. El 6 de diciembre se publicó un Full Path Disclosure que afectaba al sitio, debido a un problema en la configuración del servidor que mostraba errores y advertencias en producción y a que el sistema no validaba correctamente los datos. El equipo de investigadores en […]
WePlay es un local comercial de video juegos y consolas. El 6 de diciembre se publicó un Full Path Disclosure que afectaba al sitio, debido a un problema en la configuración del servidor que mostraba errores y advertencias en producción y a que el sistema no validaba correctamente los datos.
El equipo de investigadores en Seguridad Informatica DTH@Security se inspiró en este hallazgo e intentó detectar más problemas que afectaban al sitio, encontrando accesos como anónimo a FTP, Cross-Site Scripting y otras vulnerabilidades.
Las vulnerabilidades han sido ingresadas al repositorio de Secureless con los siguientes ID:
El acceso como usuario Anonymous al FTP del servidor 190.98.198.106 lo han evidenciado con un screenshot
Pueden revisar el artículo original en DTH@Security – BUG EN WEPLAY.CL.
Mediante twitter nos enteramos que han vulnerado uno de los sistemas de gestión de contenido bajo el dominio e-bolivar.gov.ve, correspondiente al gobierno de Venezuela. El ataque ha sido publicado tipo full-disclosure en una entrada en pastebin.