Los investigadores de seguridad y co-fundadores de Detectify
descubrieron una vulnerabilidad crítica en Google que les permitió acceder a los servidores internos.
La
vulnerabilidad estaba en la galería de botones de
Google Toolbar,
la página que permite a los usuarios personalizar su barra de
herramientass. También permite a los usuarios crear sus propios botones
subiendo archivos XML que contienen diversos metadatos.
Los investigadores identificaron que esta función era vulnerable a una
vulnerabilidad XXE - XML External Entity.
Mediante el envío de un archivo XML especialmente diseñado, los
investigadores son capaces de obtener acceso a los archivos internos
almacenados en un servidor de producción de
Google... y se las
arreglaron para leer los archivos 'etc/passwd' y 'etc/hosts' del
servidor.
Al explotar esta vulnerabilidad, los investigadores podrían haber
accedido a los archivos en el servidor de
Google y también podrían haber
explotado
SSRF para acceder a sistemas internos.
Google ha premiado a los investigadores con $10,000 por encontrar y reportar esta
vulnerabilidad.
Fuente:
HackPlayers
