Vulnerabilidad de SQL Injection en Yahoo!

Ebrahim Hegazy (@Zigoo0) un asesor de seguridad de la información egipcio encontró una vulnerabilidad de Blind SQL Injection basada en tiempo en las aplicaciones de marketing Yahoo!. Esta es la segunda vez que le pasa a Yahoo! en menos de un año y, como reconocimiento,Yahoo! le envío una camiseta al investigador.

La inyecciónfue descubierta en el servicio oficial de solicitud de comercialización de Taiwan y permite a los atacantes remotos inyectar comandos SQL y obtener acceso a los datos sensibles de los usuarios y control total de la base de datos.

La vulnerabilidad se encuentra en el index.php al procesar el parámetro SCID y puede ser explotada por un atacante remoto sin cuenta de usuario y sin necesidad de interacción del usuario.

The time-based sql injection web vulnerability can be exploited by remote attackers without privileged application user account and without required user interaction. Una PoC publicada por el investigador es la siguiente:

http://tw.ysm.emarketing.yahoo.com/soeasy/index.php?p=2&scId=113; select SLEEP(5)--

La vulnerabilidad fue solucionada por Yahoo! corrigiendo el manejo del parámetro SCID pero, ¿no habrá quedado otro?

Cristian de la redacción de Segu-Info