8

[ping.fm] CSRF Vulnerability

Date abril 4th, 2009

Ping.fm logoA CSRF vulnerability was discovered in ping.fm. An attacker can change some user information without having its login credentials. In the right circumstances, this can be exploited to change the email of the user without needing confirmation from the real user.

Administrators has been notified. However, ping.fm is still vulnerable. Therefore it is recommended to all users to not open any suspicious URL while logged at the site. and a patch has been applied at 4/7/2009.

This vulnerability has been discovered by Sergio Cruz Ramírez (aka Omega) & Rubén Díaz Alonso (aka outime).

Una vulnerabilidad CSRF ha sido descubierta en ping.fm. Un atacante puede cambiar información del usuario sin tener sus credenciales. En las circunstancias adecuadas, puede ser utilizado para cambiar el email del usuario sin necesitar confirmación por parte del usuario real.

Los administradores han sido notificados. Sin embargo, ping.fm sigue siendo vulnerable. Mientras tanto se recomienda a todos los usuarios no abrir ninguna URL sospechosa mientras se está identificado en el sitio. y se ha aplicado un parche el 7/4/2009.

Esta vulnerabilidad ha sido descubierta por Sergio Cruz Ramírez (aka Omega) & Rubén Díaz Alonso (aka outime).

  • del.icio.us
  • Facebook
  • Google Bookmarks
  • BarraPunto
  • Bitacoras.com
  • Meneame
  • HelloTxt
  • Tumblr
  • Twitter
Hay 8 comentarios
  • Avatar
    sonsomar
    abril 4th, 2009 @ 9:03 pm Reply to this comment

    cielos, otra? pues dale!

  • Avatar
    Omega
    abril 4th, 2009 @ 9:05 pm Reply to this comment

    DOUBLE COMBO!

    Estamos estoy [/ego] que lo petamos hoyga

  • Avatar
    rayko
    abril 4th, 2009 @ 9:05 pm Reply to this comment

    PingCSRF

    joder estais que tirais la casa por la ventana xD

  • Avatar
    Anchel
    abril 4th, 2009 @ 9:27 pm Reply to this comment

    Sinceramente, no tengo ni idea de en qué consiste esa vulnerabilidad pero enhorabuena por descubrirla :P

  • Avatar
    Mark
    abril 5th, 2009 @ 2:05 am Reply to this comment

    Another great notice! You guys rock so much ^^

  • Avatar
    chencho
    abril 7th, 2009 @ 10:18 pm Reply to this comment

    vamos, hacedla pública, a ellos se la suda!!!

  • Avatar
    Rubén Díaz
    abril 7th, 2009 @ 10:20 pm Reply to this comment

    @chencho ya la han arreglado :-)

  • Avatar
    Diazr » Vulnerabilidad crítica en Tuenti
    abril 30th, 2009 @ 10:33 pm Reply to this comment

    [...] Dependiendo de la gravedad, se publican en el mismo día, sin que se hayan arreglado (1, 2) o se espera un tiempo prudente para publicarlas. Y esta es una de las [...]

Todos los comentarios enviados pasan antes por una moderación previa. Esto no significa en ningún caso que tu opinión sea censurada, excepto si únicamente se fundamenta en el insulto gratuito o no aporta nada a la discusión. Por favor, sé coherente antes de teclear, todos te lo agradeceremos :-)

Nombre (requerido)

Mail (requerido)

Sitio web