Злоумышленники могли распространять вредоносное ПО черерз сайт FCC.gov

Уязвимость на сайте Федеральной комиссии по связи позволяла злоумышленниками загружать вредоносное ПО на сервер.

20-летниий студент из США случайно обнаружил уязвимость на сайте Федеральной комиссии по связи (FCC).Ошибка позволяла любому пользователю прикрепить файл с произвольным расширением и опубликовать ссылку на него в качестве публичного комментария на сайте ведомства.

По словам исследователя, уязвимость позволяла загружать произвольные файлы на сервер FCCразмером до 25 МБ. Таким образом, злоумышленники легко могли распростронять вредоносное ПО через официальный сайт Федеральной комиссии по связи США. Уязвимость, как предполагается, присутствовала около 5 месяцев.

Проблема заключалась в отсутствии проверки типов загружаемых файлов в публичном API. Доступ к API предоставлялся с помощью ключа, отправляемого по запросу пользователя на его электронную почту.

В настоящее время FCC проводит расследование инцидента.