yahooBoşluq  şirkətin serverlərində kənar kodu icra etməyə imkan verirdi. Müstəqil təhlükəsizlik üzrə mütəxəssis İbrahim Heqazi (Ebrahim Hegazy) Yahoo şirkətinə məxsus serverlərdə boşluq aşkarlayaraq bu barədə xəbər vermişdir. Boşluq artıq aradan qaldırılmışdır.

Heqazinin bloqunda boşluğun Yahoonun tayvan subdomenində aşkarlandığı bildirilir. Misal olaraq aşağıdakı link göstərilir:

//tw.user.mall.yahoo.com/rating/list?sid=$Vulnerability

Mütəxəssisin sözlərinə görə göstərilən linkdə “sid” parametrlərini dəyişməklə, server tərəfində PHP-funksiyası üçün parametr dəyəri “Eval ()”  keçərli olur. Bunun əasasında ixtiyarı kənar PHP kodu serverdə işə salmaq mümkündür. Hücumun videosu Heqazi tərəfindən youtube.com səhifəsinə yerləşdirilmişdir.

Mənbə: securitylab.ru