El investigador de seguridad Ebrahim Hegazy ha identificado una vulnerabilidad de ejecución remota de comandos en un servidor de Yahoo. La compañía ha parcheado el agujero de seguridad.
http://www.youtube.com/watch?feature=player_embedded&v=V3CHd6ePICo
Según el experto, inicialmente encontró un fallo de inyección remota de código PHP. Sin embargo, logró escalarla a una vulnerabilidad de ejecución remota de código.
El agujero de seguridad fue identificado en tw.user.mall.yahoo.com, pero Hegazy dice que el servidor subyacente también aloja varios otros subdominios.
La vulnerabilidad fue reportada a Yahoo el 20 de enero y fue corregida al día siguiente. Los representantes de Yahoo han dicho al investigador que están tratando de determinar si sus hallazgos encajan en el nuevo programa de recompensas por errores.
Más detalles técnicos sobre la vulnerabilidad están disponibles en el blog de Hegazy. También puedes ver el vídeo de prueba de concepto publicado por el experto.
http://news.softpedia.es/Experto-encuentra-una-vulnerabilidad-de-ejecucion-remota-de-codigo-en-un-servidor-de-Yahoo-Video-420921.html