Flickr, un des plus gros site de partage et de gestion de photos en ligne a été impacté par une vulnérabilité web critique dans son application, laissant sa base de données et ses serveurs vulnérables aux attaques des hackers.

Un chercheur en sécurité Egyptien, nommé Ibrahim Raafat, a trouvé une faille de type injection SQL sur les livres photos Flickr, une nouvelle fonctionnalité lancée il y a 5 mois et qui permet d’imprimer des livres photos personnalisés.

Il indique avoir trouvé deux paramètres vulnérables à une injection SQL dite “Blind“, c’est à dire à l’aveugle dont on ne connaît pas le résultat. Enfin, plus précisément le seul résultat que l’on a est “vrai” ou “faux” il faut donc y aller à tâtons. Par ailleurs, il a également trouvé une injection SQL directe qui l’autorise à requêter la base de données Flickr, dans le but d’obtenir du contenu par l’intermédiaire de requête SQL “SELECT“.

Une attaque réussie permet au hacker de voler la base de données et le mot de passe administrateur de MySQL.

De plus, cette injection SQL permet aussi d’effectuer une exécution de code à distance sur le serveur, ceci permet d’utiliser la fonction load_file(“/etc/passwd”) afin de lire des fichiers sensibles situés sur le serveur Flickr. Pour finir, Ibrahim indique être autorisé à créer de nouveaux fichiers sur le serveur.

Cette vulnérabilité a été corrigée par Yahoo!, ce dernier étant le propriétaire de Flickr.

Je vous laisse en compagnie de la vidéo de démonstration :

Source